Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.

Касперский Endpoint Security не помог. И сейчас файла вируса не находит.

Помогите пожалуйста с расшифровкой.

frst.rar Crypted.rar text.rar

Ссылка на сообщение
Поделиться на другие сайты

Добавьте логи FRST еще с нескольких зашифрованных машин, возможно тело шифровальщика было так же зашифровано.

Ссылка на сообщение
Поделиться на другие сайты

по 2 ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-05-16 08:31 - 2022-05-12 12:31 - 000000000 __SHD C:\Users\yazeva\AppData\Local\B118E0B4-EC08-1419-880C-19AA0E96E89F
2024-05-19 11:42 - 2024-05-19 11:42 - 000007224 _____ C:\Users\yazeva\AppData\Local\TELEGRAM_RASHIFROVKA.txt
2024-05-16 08:04 - 2024-05-16 08:35 - 000002200 _____ C:\TELEGRAM_RASHIFROVKA.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

 

По 1ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-05-16 08:04 - 2024-05-16 08:35 - 000002200 _____ C:\TELEGRAM_RASHIFROVKA.txt
2024-05-16 08:26 - 2022-05-12 12:31 - 000000000 ____D C:\Users\yazeva.AFL\AppData\Local\B118E0B4-EC08-1419-880C-19AA0E96E89F
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Если у вас доменная сеть, и есть консоль управления антивирусами,  возможно злоумышленники смогли получить доступ к домену и отключить антивирусную защиту на клиентах.

файл шифровальщика из папки B118E0B4-EC08-1419-880C-19AA0E96E89F был зашифрован

ENC_default_default_2023-12-27_09-27-40=Telegram@datadecrypt.exe.telegram

по этой причине сэмпл шифрования не находится.

Незашифрованы лишь записки о выкупе.

--------

проверьте на других зашифрованных устройствах наличие данной папки:

2024-05-16 08:26 - 2022-05-12 12:31 - 000000000 ____D C:\Users\Имя учетной записи\AppData\Local\B118E0B4-EC08-1419-880C-19AA0E96E89F

в этой папке находятся тело шифровальщика и вспомогательные файлы. Возможно они так же зашифрованы.

----------

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Николай Щипунов
      От Николай Щипунов
      Добрый день!
       
      Компьютер пользователя атакован вирусом-шифровальщиком. Предположительный канал проникновения - доступ к удаленному рабочему столу через протокол RDP.
      Образцы файлов и записка вымогателей находятся в файле samples.zip. Незашифрованные версии файлов имеются и могут быть предоставлены по запросу.
      Сам файл шифровальщика найден и может быть предоставлен дополнительно по запросу.
       
      Операционная система  была переустановлена. Farbar Recovery Scan Tool запускалась в чистой среде.
      samples.zip Addition.txt FRST.txt
    • Сергей_00
      От Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • Ezh85
      От Ezh85
      Добрый день!
      Поймали шифровальщика. Прошу помощи. 
      Предположительно, взлом был осуществлен через RDP. Полегла вся инфраструктура.
       
      Archive.zipFRST.txt
      Addition.txt
    • Max78
      От Max78
      Здравствуйте, вирус зашифровал файлы на компьютере, все файлы переименовал *.ELPACO-team
      Прошу помощи
    • forse86
      От forse86
      Здравствуйте. Вирус зашифровал файлы и поменял название файлов на *.TELEGRAM
      Прошу помощи. 
      Addition.txt FRST.txt Вирус.rar
×
×
  • Создать...