proxima Шифровальщик tisak

[134]

Сегодня в ночь была атака шифровальщика с расширением tisak. Ждем хоть какой-то информации о дальнейших наших действиях.

Addition.txt FRST.txt тисак.rar

[Sandor]

Здравствуйте!

 

Один из файлов Tisak_Help.txt тоже прикрепите, пожалуйста.

[134]

1 час назад, 134 сказал:

Сегодня в ночь была атака шифровальщика с расширением tisak. Ждем хоть какой-то информации о дальнейших наших действиях.

Addition.txt 54 kB · 0 загрузок FRST.txt 99 kB · 0 загрузок тисак.rar 391 kB · 0 загрузок

 

Tisak_Help.txt

[safety]

Очистку систему уже выполняли? Файл шифровальщика нашли? Это может быть файл "win.exe"

 

+

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС

Изменено 15 декабря, 2023 пользователем safety

[134]

1 минуту назад, safety сказал:

Очистку систему уже выполняли? Файл шифровальщика нашли? Это может быть файл "win.exe"

Нет. Что нужно сделать? Есть какойто вирус в хранилище colector.exe

 

[safety]

2 minutes ago, 134 said:

Нет. Что нужно сделать? Есть какойто вирус в хранилище colector.exe

Если файл помещен на дату шифрования, или после шифрования, восстановите с именем "colector.vexe" в отдельную папку, заархивируйте с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС. (далее файл можно будет удалить)

[134]

38 минут назад, safety сказал:

Если файл помещен на дату шифрования, или после шифрования, восстановите с именем "colector.vexe" в отдельную папку, заархивируйте с паролем infected, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС. (далее файл можно будет удалить)

Как его востановить с новым именем?

 

[Sandor]

Просто пробуйте переименовать восстановленный.

[safety]

1 minute ago, 134 said:

Как его востановить с новым именем?

Если есть такое действие в карантине "сохранить как", тогда можно имя изменить, расширение, и указать в какой каталог сохранить.

[134]

6 минут назад, safety сказал:

Если есть такое действие в карантине "сохранить как", тогда можно имя изменить, расширение, и указать в какой каталог сохранить.

Нет такого есть резервное хранилище и кнопка восстановить.

[safety]

5 часов назад, 134 сказал:

и кнопка восстановить.

пробуйте восстановить и переименовать вручную.

 

по образу автозапуска в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Без перезагрузки системы.

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\AUTOUPDATE.BAT
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
apply

QUIT

 

 

по расшифровке данных:

 

К сожалению, расшифровки сейчас нет по этому типу шифровальщика PROXIMA/BlackShadow

Сохраните важные зашифрованные документы и файлы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Пока возможно только восстановление с бэкапов.

 

При наличие лицензий на продукт лаборатории Касперского, сделайте  запрос в лабораторию.