Перейти к содержанию

Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]


Рекомендуемые сообщения

Добрый день!

Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.

Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]

Возможно ли восстановить систему и файлы? Что нужно и какие условия?

222Twary.jpg

Ссылка на комментарий
Поделиться на другие сайты

Так там же написано:

1. Инструкции, подготовленные Консультантами, пишутся индивидуально для каждого пользователя.

 

Я эти инструкции и попросил. Это для вас просто, для меня все как в первый раз...

 

Вот прогнал KVRT, нашли какие-то вирусы. Удалили.

Сейчас запустил Farbar, что-то он там крутит, читает... Но какие я должен зашифрованные документы подготовить мне не понятно... И где и каким архивом мне нужно вирус заархивировать и куда-то выложить я тоже не пойму (:-

Farbar закончил. Пишет что файл FRST.txt в той же папке, где FRST (?)... Тут же открылся afqk addition.txt ... с ним что делать?

Ссылка на комментарий
Поделиться на другие сайты

Речь идёт о 2-3 небольших зашифрованных документах и записке с требованием выкупа. Упакуйте их в архив и прикрепите к следующему сообщению.

Логи Farbar тоже нужны.

А про сам вирус есть оговорка - "если его удалось найти". Пока не нужно.

Ссылка на комментарий
Поделиться на другие сайты

А где эту записку про выкуп найти? Этот их файл я закрыл только скрин сделал...

 

Да, сейчас глянул FRST директорию, все файлы с таким же "пиратским" расширением SHTORM как и все остальные. 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Похоже вымогатель активен. Пролечите систему с помощью KRD.

Создавать диск или флешку нужно на другом, здоровом компьютере.

 

9 минут назад, GreenStamp сказал:

Этот их файл я закрыл

Вот сам файл и нужен. Скорее всего с расширением hta.

 

Вероятнее всего тип вымогателя - Phobos. Расшифровки нет, к сожалению.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

вымогатель активен. Пролечите систему с помощью KRD.

Пройдите по ссылке. Будут вопросы - задавайте.

Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, Sandor сказал:

Пройдите по ссылке. Будут вопросы - задавайте.

KRD дважды все проверил, вирусов нет, подозрительных объектов нет.

Что делать дальше?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • CBUAleksandrK
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
    • Мурат Профит
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • Вадим_АнтиВирус
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • _1Artes1_
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • AJIEKCAHDP
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
×
×
  • Создать...