Перейти к содержанию

Шифровальщик локи.

Genas
 Поделиться

Рекомендуемые сообщения

Genas Новичок

Genas

Опубликовано
Опубликовано

Добрый день, форумчане!

Помогите разобраться с шифровальщиком Loki. Зашифровал файлы и испортил систему на сервере. 

 

Frst.7zFetching info... EncriptedFiles.7zFetching info...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

  On 07.11.2023 at 14:43, Genas said:

не на один профиль не могу войти

Expand  

Пролечите систему с помощью KRD, если не планируете переустановку.

Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано
  On 08.11.2023 at 08:01, Sandor said:

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Пролечите систему с помощью KRD, если не планируете переустановку.

Expand  

Обязательно KRD использовать? Касперский премиум прибил этого негодяя и там есть опция восстановить.

image.thumb.png.bee6457d552785e0d3d1f2cdb2372eae.png

Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано

 

  On 08.11.2023 at 13:29, Sandor said:

Ярлыки вероятно лежат на общем столе, типа c:\Users\Public\Desktop\

 

Соберите логи Farbar, посмотрим нужно ли что дочистить.

Expand  

frst.7zFetching info...

Логи собрал, посмотрите, плс.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повреждённые учётные записи (профили) придётся пересоздавать.

Пароли на админских учётках смените и сократите их количество до одной.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{3C2E3216-D451-4770-B786-D041654023CC}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{C13669A7-73DB-42F8-9394-F3C3F7FECB91}] => (Allow) LPort=54925
FirewallRules: [{F530AE91-2B4B-45CC-80D0-45D6F01613EB}] => (Allow) LPort=22
FirewallRules: [{5287F404-47E7-4CC9-A433-E4E2951B5437}] => (Allow) LPort=22
FirewallRules: [{C2B62029-B053-4E3A-9161-68B17B59B76F}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{C07B9FCE-BFDB-4066-86FF-690E1B9EC872}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [UDP Query User{4F6069C2-98EF-4489-AF33-F9DC9E7052DC}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [TCP Query User{9C7EBFF0-CC2F-4F7B-8713-04E7B426226E}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{A7B240A8-D799-434D-8828-2FB9AE7DA04D}] => (Allow) LPort=80
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано
  On 08.11.2023 at 14:13, Sandor said:

Повреждённые учётные записи (профили) придётся пересоздавать.

Пароли на админских учётках смените и сократите их количество до одной.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{3C2E3216-D451-4770-B786-D041654023CC}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{C13669A7-73DB-42F8-9394-F3C3F7FECB91}] => (Allow) LPort=54925
FirewallRules: [{F530AE91-2B4B-45CC-80D0-45D6F01613EB}] => (Allow) LPort=22
FirewallRules: [{5287F404-47E7-4CC9-A433-E4E2951B5437}] => (Allow) LPort=22
FirewallRules: [{C2B62029-B053-4E3A-9161-68B17B59B76F}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{C07B9FCE-BFDB-4066-86FF-690E1B9EC872}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [UDP Query User{4F6069C2-98EF-4489-AF33-F9DC9E7052DC}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [TCP Query User{9C7EBFF0-CC2F-4F7B-8713-04E7B426226E}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{A7B240A8-D799-434D-8828-2FB9AE7DA04D}] => (Allow) LPort=80
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Expand  

Fixlog.7z Готово

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Уязвимые места и устаревшее критическое ПО можно проверить так:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано
  On 08.11.2023 at 14:54, Sandor said:

Уязвимые места и устаревшее критическое ПО можно проверить так:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

Expand  

SecurityCheck.txt Готово

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
×
×
  • Создать...