Перейти к содержанию

Поймал шифровальщика. Файлы .telegram

Gaspar77
 Поделиться

Рекомендуемые сообщения

Gaspar77

Gaspar77

Опубликовано
Опубликовано

Добрый день.

Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.

Касперский Endpoint Security не помог. И сейчас файла вируса не находит.

Помогите пожалуйста с расшифровкой.

frst.rar Crypted.rar text.rar

safety

safety

Опубликовано
Опубликовано

Добавьте логи FRST еще с нескольких зашифрованных машин, возможно тело шифровальщика было так же зашифровано.

safety

safety

Опубликовано
Опубликовано (изменено)

по 2 ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-05-16 08:31 - 2022-05-12 12:31 - 000000000 __SHD C:\Users\yazeva\AppData\Local\B118E0B4-EC08-1419-880C-19AA0E96E89F
2024-05-19 11:42 - 2024-05-19 11:42 - 000007224 _____ C:\Users\yazeva\AppData\Local\TELEGRAM_RASHIFROVKA.txt
2024-05-16 08:04 - 2024-05-16 08:35 - 000002200 _____ C:\TELEGRAM_RASHIFROVKA.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

По 1ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки. 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-05-16 08:04 - 2024-05-16 08:35 - 000002200 _____ C:\TELEGRAM_RASHIFROVKA.txt
2024-05-16 08:26 - 2022-05-12 12:31 - 000000000 ____D C:\Users\yazeva.AFL\AppData\Local\B118E0B4-EC08-1419-880C-19AA0E96E89F
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Если у вас доменная сеть, и есть консоль управления антивирусами,  возможно злоумышленники смогли получить доступ к домену и отключить антивирусную защиту на клиентах.

файл шифровальщика из папки B118E0B4-EC08-1419-880C-19AA0E96E89F был зашифрован

ENC_default_default_2023-12-27_09-27-40=Telegram@datadecrypt.exe.telegram

по этой причине сэмпл шифрования не находится.

Незашифрованы лишь записки о выкупе.

--------

проверьте на других зашифрованных устройствах наличие данной папки:

2024-05-16 08:26 - 2022-05-12 12:31 - 000000000 ____D C:\Users\Имя учетной записи\AppData\Local\B118E0B4-EC08-1419-880C-19AA0E96E89F

в этой папке находятся тело шифровальщика и вспомогательные файлы. Возможно они так же зашифрованы.

----------

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ladomir
      Шифровальщик .s25ultra1tb-jz3Zxkv2kRluRJ3YFRHJdz8IKvrk3Q9U3W5Wm_kkF2Y
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Зашифровались файлы с расширением ELPY
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Игорь Крайнев
      зашифровали базы 1с на сервере
      Автор Игорь Крайнев
      заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали
      на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать
      вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker
      Addition.txt CRYPT_FILES.zip FRST.txt
×
×
  • Создать...