Перейти к содержанию

Зашифровали файлы, доступ через RDP, расширение .kasper

AntonZinch
 Share

Рекомендуемые сообщения

AntonZinch Новичок

AntonZinch

Опубликовано
Опубликовано

Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.

Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

image.thumb.png.86ccbaf2d6781b53db25753c396482b9.png

 

подскажите, без приватного ключа не расшифровать? 

 

Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла

111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Систему пролечивали с помощью загрузочного KRD? Возможно что часть исполняемых, в том числе и сэмпл шифрования быи заражены Neshta

 

+ добавьте логи FRST + записку о выкупе, это может быть файл  с наименованием "README kasper.txt"

Ссылка на комментарий
Поделиться на другие сайты
AntonZinch Новичок

AntonZinch

Опубликовано
  • Автор
Опубликовано

Я, к сожалению на отдыхе и доступ к компу только по РДП. Лечил KVRT.exe это единственное что запустилось, нормальный касперский не ставится, так как стоит Cisco и VmWare, а удалить их не возможно так как все файлы в том числе и унинсталлеры зашифрованы. 

README kasper.txt FRST.txt Addition.txt

Простите, предыдущим постом выложил обрезанные файлы. 

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
Цитата

так как стоит Cisco и VmWare, а удалить их не возможно

Пробуйте поверх установить, хотя возможно что новая установка  будет связана с деинсталляцией предыдущей установки.

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Users\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
FirewallRules: [{9D834C95-398C-4DFF-8070-E321786F7E2C}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{2082411C-D0AC-484B-94CE-FA7C49B8356E}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3886E0B7-CE90-4E96-ADD8-1CEDA4CF8DEB}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{96EB1F3F-5A0D-4B1D-9E09-8BF8E41A5D01}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{BD0E7AE9-3622-4FC3-9860-80A257075377}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{54025447-E2AF-44D4-B31E-441C8DA7B39C}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{76477673-290D-4CF9-A951-292ED9668467}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{82887E3A-194D-4701-9A46-9EC9F6517025}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{045589A8-28BD-4DD4-B55E-881C2256BE6A}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{1E62AA21-420C-4703-8322-1AE2A1ACE6A6}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{F24E4D1F-942B-4B07-BF50-A13998A8AB19}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{276AD132-0C20-4154-B4D6-A9C5DF766356}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Lex89
      Взломали по RDP и зашифровали все файлы с расширением .pe32s
      От Lex89
      Сегодня произошел взлом по RDP и запуск шифратора 
      Примеры зашифрованных файлов, письмо о переводе денег, данные FRST во вложении
      Пароль от архива с вирусом - 12345
      Addition.txt FRST.txt Pe32-v4.1.1.rar README.txt Пример зашифрованных файлов.rar
    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
    • DennisKo
      Зашифровали файлы расширение ANDRE
      От DennisKo
      Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 
      может поможет в понимании как зашифровали. 

      Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt
    • vogd
      Зашифрованы файлы, расширение HeeMY17Ky
      От vogd
      Добрый день. Все файлы сервера зашифрованы с расширением HeeMY17Ky
      HeeMY17Ky.README.txt FRST.txt Addition.txt Примеры файлов.zip
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
×
×
  • Создать...