Перейти к содержанию

Зашифровали файлы, доступ через RDP, расширение .kasper

AntonZinch
 Поделиться

Рекомендуемые сообщения

AntonZinch Новичок

AntonZinch

Опубликовано
Опубликовано

Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.

Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

image.thumb.png.86ccbaf2d6781b53db25753c396482b9.png

 

подскажите, без приватного ключа не расшифровать? 

 

Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла

111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Систему пролечивали с помощью загрузочного KRD? Возможно что часть исполняемых, в том числе и сэмпл шифрования быи заражены Neshta

 

+ добавьте логи FRST + записку о выкупе, это может быть файл  с наименованием "README kasper.txt"

Ссылка на комментарий
Поделиться на другие сайты
AntonZinch Новичок

AntonZinch

Опубликовано
  • Автор
Опубликовано

Я, к сожалению на отдыхе и доступ к компу только по РДП. Лечил KVRT.exe это единственное что запустилось, нормальный касперский не ставится, так как стоит Cisco и VmWare, а удалить их не возможно так как все файлы в том числе и унинсталлеры зашифрованы. 

README kasper.txt FRST.txt Addition.txt

Простите, предыдущим постом выложил обрезанные файлы. 

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
Цитата

так как стоит Cisco и VmWare, а удалить их не возможно

Пробуйте поверх установить, хотя возможно что новая установка  будет связана с деинсталляцией предыдущей установки.

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Users\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
FirewallRules: [{9D834C95-398C-4DFF-8070-E321786F7E2C}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{2082411C-D0AC-484B-94CE-FA7C49B8356E}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3886E0B7-CE90-4E96-ADD8-1CEDA4CF8DEB}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{96EB1F3F-5A0D-4B1D-9E09-8BF8E41A5D01}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{BD0E7AE9-3622-4FC3-9860-80A257075377}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{54025447-E2AF-44D4-B31E-441C8DA7B39C}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{76477673-290D-4CF9-A951-292ED9668467}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{82887E3A-194D-4701-9A46-9EC9F6517025}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{045589A8-28BD-4DD4-B55E-881C2256BE6A}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{1E62AA21-420C-4703-8322-1AE2A1ACE6A6}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{F24E4D1F-942B-4B07-BF50-A13998A8AB19}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{276AD132-0C20-4154-B4D6-A9C5DF766356}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lex89
      Взломали по RDP и зашифровали все файлы с расширением .pe32s
      Автор Lex89
      Сегодня произошел взлом по RDP и запуск шифратора 
      Примеры зашифрованных файлов, письмо о переводе денег, данные FRST во вложении
      Пароль от архива с вирусом - 12345
      Addition.txt FRST.txt Pe32-v4.1.1.rar README.txt Пример зашифрованных файлов.rar
    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • andry-555
      Вирус зашифровал папки в общем доступе
      Автор andry-555
      вирус зашифровал все файлы в папках в открытом доступе кроме файлов с расширением *.exe в каждой папке создал файла 2 файла от либо возможно было 2 вируса
      файлы с расширением *.exe заражены вирусом NeshtaFRST.txtAddition.txt
      архив с файлами и требованиями злоумышленников.zip
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...