Перейти к содержанию

Зашифровали файлы, доступ через RDP, расширение .kasper

AntonZinch
 Поделиться

Рекомендуемые сообщения

AntonZinch

AntonZinch

Опубликовано
Опубликовано

Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.

Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

image.thumb.png.86ccbaf2d6781b53db25753c396482b9.png

 

подскажите, без приватного ключа не расшифровать? 

 

Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла

111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Систему пролечивали с помощью загрузочного KRD? Возможно что часть исполняемых, в том числе и сэмпл шифрования быи заражены Neshta

 

+ добавьте логи FRST + записку о выкупе, это может быть файл  с наименованием "README kasper.txt"

Ссылка на комментарий
Поделиться на другие сайты
AntonZinch

AntonZinch

Опубликовано
  • Автор
Опубликовано

Я, к сожалению на отдыхе и доступ к компу только по РДП. Лечил KVRT.exe это единственное что запустилось, нормальный касперский не ставится, так как стоит Cisco и VmWare, а удалить их не возможно так как все файлы в том числе и унинсталлеры зашифрованы. 

README kasper.txt FRST.txt Addition.txt

Простите, предыдущим постом выложил обрезанные файлы. 

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
Цитата

так как стоит Cisco и VmWare, а удалить их не возможно

Пробуйте поверх установить, хотя возможно что новая установка  будет связана с деинсталляцией предыдущей установки.

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Users\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
FirewallRules: [{9D834C95-398C-4DFF-8070-E321786F7E2C}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{2082411C-D0AC-484B-94CE-FA7C49B8356E}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3886E0B7-CE90-4E96-ADD8-1CEDA4CF8DEB}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{96EB1F3F-5A0D-4B1D-9E09-8BF8E41A5D01}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{BD0E7AE9-3622-4FC3-9860-80A257075377}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{54025447-E2AF-44D4-B31E-441C8DA7B39C}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{76477673-290D-4CF9-A951-292ED9668467}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{82887E3A-194D-4701-9A46-9EC9F6517025}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{045589A8-28BD-4DD4-B55E-881C2256BE6A}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{1E62AA21-420C-4703-8322-1AE2A1ACE6A6}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{F24E4D1F-942B-4B07-BF50-A13998A8AB19}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{276AD132-0C20-4154-B4D6-A9C5DF766356}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • k3eyrun
      [РЕШЕНО] Вирус блокирует доступ к файлам, не виден антивирусам, урезает доступ к системе
      Автор k3eyrun
      словил очередной вирус с гитхаба по гиперссылке, перед запуском проверял файл, но ни один антивирус ничего не нашел. вирустотал говорил о том что в папке нет файлов, но меня это не смутило. при запуске файла через секунду заработал майнер, очень примитивный, при запуске диспечера задач с задержкой в секунд 10 выключался, а потом через время скрипт выключал диспетчер задач, и майнер включался снова. 
      я проверил пк через kaspersky, тот ничего не нашел, проверил через malwarebytes, он уже нашел майнер и после синего экрана его удалил, только вот по всей видимости, не полностью.
      после всего этого я хотел удалить папку, откуда и пошел вирус, но вирус сразу тормозил проводник, отключал мышку, или вообще останавливал всю систему. после этого антивирусы что то находили, но после "удаления" проблема никуда не делась, но антивирусы больше ничего не видели. 
      планировщик задач, настройки, и обновления винды тоже сломались этим трояном, корректно ничего не отображают. 
      CollectionLog-2025.08.18-16.35.zip
×
×
  • Создать...