Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]

GreenStamp
 Поделиться

Рекомендуемые сообщения

GreenStamp Новичок

GreenStamp

Опубликовано
Опубликовано

Добрый день!

Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.

Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]

Возможно ли восстановить систему и файлы? Что нужно и какие условия?

222Twary.jpg

Ссылка на комментарий
Поделиться на другие сайты
GreenStamp Новичок

GreenStamp

Опубликовано
  • Автор
Опубликовано

Так там же написано:

1. Инструкции, подготовленные Консультантами, пишутся индивидуально для каждого пользователя.

 

Я эти инструкции и попросил. Это для вас просто, для меня все как в первый раз...

 

Вот прогнал KVRT, нашли какие-то вирусы. Удалили.

Сейчас запустил Farbar, что-то он там крутит, читает... Но какие я должен зашифрованные документы подготовить мне не понятно... И где и каким архивом мне нужно вирус заархивировать и куда-то выложить я тоже не пойму (:-

Farbar закончил. Пишет что файл FRST.txt в той же папке, где FRST (?)... Тут же открылся afqk addition.txt ... с ним что делать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Речь идёт о 2-3 небольших зашифрованных документах и записке с требованием выкупа. Упакуйте их в архив и прикрепите к следующему сообщению.

Логи Farbar тоже нужны.

А про сам вирус есть оговорка - "если его удалось найти". Пока не нужно.

Ссылка на комментарий
Поделиться на другие сайты
GreenStamp Новичок

GreenStamp

Опубликовано
  • Автор
Опубликовано

А где эту записку про выкуп найти? Этот их файл я закрыл только скрин сделал...

 

Да, сейчас глянул FRST директорию, все файлы с таким же "пиратским" расширением SHTORM как и все остальные. 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Похоже вымогатель активен. Пролечите систему с помощью KRD.

Создавать диск или флешку нужно на другом, здоровом компьютере.

 

9 минут назад, GreenStamp сказал:

Этот их файл я закрыл

Вот сам файл и нужен. Скорее всего с расширением hta.

 

Вероятнее всего тип вымогателя - Phobos. Расшифровки нет, к сожалению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

вымогатель активен. Пролечите систему с помощью KRD.

Пройдите по ссылке. Будут вопросы - задавайте.

Ссылка на комментарий
Поделиться на другие сайты
GreenStamp Новичок

GreenStamp

Опубликовано
  • Автор
Опубликовано
14 часов назад, Sandor сказал:

Пройдите по ссылке. Будут вопросы - задавайте.

KRD дважды все проверил, вирусов нет, подозрительных объектов нет.

Что делать дальше?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • CBUAleksandrK
      Trojan.Multi.Agent.gen KIS требуется помощь
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Мурат Профит
      Помощь в расшифровке файлов, после атаки Trojan.Encoder.31074 (Lockbit 3)
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • Warrr
      Помощь с расшифровкой Mimic
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • kov44
      Помощь в дешифровке restore1_helper@gmx.de
      Автор kov44
      Добрый день! Несколько компьютеров в сети подверглись атаке вируса-шифровальщика. Вымогатель предлагает осуществить выкуп за помощь с дешифровкой за биткоины.
      Файлы были переименованы, в конце каждого суффикс "id[e2bdbcde-3259].[restore1_helper@gmx.de].Banta"
      Кто-нибудь сталкивался? Возможно дешифровка данных файлов
      Вот архив, в нем зашифрованные файлы, а также два файла info с требованием о выплате выкупа
      virus.rar
×
×
  • Создать...