Перейти к содержанию

Рекомендуемые сообщения

теневые копии спасли 2 диска, но я не помню вылили они включены на третьем, или их подчистили. шифранули в основном фоточки и видео
судя по логам пытались запускать
 

C:\Users\lwsa\Desktop\x64-Release\start.bat

C:\Users\lwsa\Desktop\x64-Release\NS.exe
пытался восстановить эти файлы с диска, неудачно

1428430161_2024-05-1408_03_41.thumb.png.1424337e1435866276e5df2e5f25c404.png

 

#SHINRA-Recovery.txt

FRST.txt

Архив 2.zip

Ссылка на сообщение
Поделиться на другие сайты

Тело шифровальщика не найдено? можете добавить логи сканирования антивирусом или сканерами?

 

Эти ограничения сами установили?

Quote

HKLM Group Policy restriction on software: C:\Program Files (x86) <==== ВНИМАНИЕ

 

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Kuza
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: sp.problemsolver.sp@gmail.com
IFEO\utilman.exe: [Debugger] systray.exe
R4 KProcessHacker3; \??\C:\Program Files\Process Hacker 2\kprocesshacker.sys [X]
2024-05-07 22:26 - 2024-05-07 22:48 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-05-07 22:26 - 2024-05-07 22:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой по данному типу шифровальщика не сможем вам помочь.

 

Примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bandersnatch
      От Bandersnatch
      Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 
      Addition.txt Desktop.rar FRST.txt
    • AYu
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • energetic
      От energetic
      Вирус шифровальщик работает с помощью mimikatz делают dump и достают хеш паролей или в открытом виде, коннектятся к серверам выдают привилегии повышенные, файл в startup вкладку в главном меню. ПОсле перезагрузки шифрует. Если у кого то есть возможность помочь расшифровать буду благодарен.
      #ZENEX-Help.txt 1.txt.[prodecrypter@aol.com].ZENEX.zip
    • Melor
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
    • Rasa
      От Rasa
      Поймала через уязвимого пользователя по RDP

      Onlgpy6awc.zip
×
×
  • Создать...