rcru64 Требуется расшифровка.

14 мая, 2024

Через RDP была занесена зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

Нужно расшифровать базы MSSQL, а то мне уже нехорошо.

FRST.zip ReadMe.zip ВозможноВирус.zip Шифрованые.zip

Изменено 14 мая, 2024 пользователем SergD

14 мая, 2024

Здравствуйте!

Файл Addition.txt получился неполный. Переделайте, пожалуйста.

14 мая, 2024

Во время работы FRST64.exe вываливается окошко со следующим текстом:

Line 9294 (File F:\Distribs\FRST64.exe"):

Error: Variable used without being declared.

При запуске FRST.exe появляется сообщение о несовместимости с операционной системой.

Нашел более раннюю версию FRST, отработала без ошибок. Файлы пилагаю.

FRST.zip

Изменено 14 мая, 2024 пользователем SergD

14 мая, 2024

Заражение файловым вирусом Neshta часто сопутствует шифрованию. Его очистку следует производить с внешнего носителя с помощью KRD.

Сделаем некоторую очистку.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Restore_Your_Files.txt
2024-05-14 03:45 - 2024-05-14 03:45 - 000001520 _____ C:\Users\Public\Downloads\Restore_Your_Files.txt
2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Restore_Your_Files.txt
2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Restore_Your_Files.txt
2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Restore_Your_Files.txt
2024-05-14 03:44 - 2024-05-14 03:44 - 000001520 _____ C:\Program Files (x86)\Restore_Your_Files.txt
2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Restore_Your_Files.txt
2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Restore_Your_Files.txt
2024-05-14 03:43 - 2024-05-14 03:43 - 000001520 _____ C:\Program Files\Common Files\Restore_Your_Files.txt
File: C:\Windows\bck.exe
File: C:\Windows\SysMain.sys
FirewallRules: [{CD5A2917-0C0E-4C15-B186-C04F92C9AB2A}] => (Block) LPort=445
FirewallRules: [{91119C87-CCDB-4CA9-8177-6F09E64E37A9}] => (Allow) LPort=65532
FirewallRules: [{0D54E922-0864-4D5D-9871-C08AEF366717}] => (Allow) LPort=65531
FirewallRules: [{9DC8EBEA-19F0-43ED-95CD-5098AFC6BAFA}] => (Allow) LPort=65533
FirewallRules: [{87B9A4FD-1934-4710-AF4A-955B3E59519A}] => (Block) LPort=445
FirewallRules: [{AA179FC3-8DB7-49DF-AF40-FA395DBF7804}] => (Block) LPort=445
FirewallRules: [{149B33D6-FA0D-4D89-A165-07699FF2A474}] => (Block) LPort=445
FirewallRules: [{90147A48-7562-4681-A533-B3DBADDE2349}] => (Block) LPort=445
FirewallRules: [{343900D3-FF20-466B-A98E-BD6834DF06AD}] => (Allow) LPort=475
FirewallRules: [{C5BCCE39-EEA4-45BA-B515-3E2B8A64C6A0}] => (Allow) LPort=475
FirewallRules: [{93C0DB51-CA40-4FA8-8BB6-196FDFF126DD}] => (Allow) LPort=1688
FirewallRules: [{5C743F78-53AC-4A8D-ADAD-3776BDF98E99}] => (Allow) LPort=1688
FirewallRules: [{EA16A2B1-1932-426C-87C7-2AD5957C8684}] => (Allow) LPort=1688
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Пароли трёх учётных записей с правами администратора смените.

14 мая, 2024

Сделал. И пароли сменил.

Fixlog.txt

14 мая, 2024

Не нужно было дважды выполнять скрипт, отчёт был перезаписан. Но не страшно.

Эти два файла

C:\Windows\bck.exe
C:\Windows\SysMain.sys

аккуратно упакуйте в архив с паролем. Залейте его на файлообменник (или облако) и ссылку на скачивание вместе с паролем дайте личным сообщением.

15 мая, 2024

Quote

зараза, опознанная KVRT как Virus.Win32.Neshta.a.

Dr.Web определил шифровальщика как Trojan.Encoder.37400.

Да. файл во вложении Xinfecter.exe является шифровальщиком, дополнительно заражен Neshta, как это любят делать некоторые группы злоумышленников:

вместе с шифрованием файлов еще заражают исполняемые файлы в системе.

По данному типу RCRU64, к сожалению, нет возможности расшифровать файлы без приватного ключа.

Cохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Изменено 15 мая, 2024 пользователем safety

rcru64 Требуется расшифровка.

Рекомендуемые сообщения

SergD

Sandor

SergD

Sandor

SergD

Sandor

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum