Перейти к содержанию

Зашифровали файлы, доступ через RDP, расширение .kasper

AntonZinch
 Поделиться

Рекомендуемые сообщения

AntonZinch

AntonZinch

Опубликовано
Опубликовано

Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.

Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

image.thumb.png.86ccbaf2d6781b53db25753c396482b9.png

 

подскажите, без приватного ключа не расшифровать? 

 

Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла

111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip

safety

safety

Опубликовано
Опубликовано

Систему пролечивали с помощью загрузочного KRD? Возможно что часть исполняемых, в том числе и сэмпл шифрования быи заражены Neshta

 

+ добавьте логи FRST + записку о выкупе, это может быть файл  с наименованием "README kasper.txt"

AntonZinch

AntonZinch

Опубликовано
  • Автор
Опубликовано

Я, к сожалению на отдыхе и доступ к компу только по РДП. Лечил KVRT.exe это единственное что запустилось, нормальный касперский не ставится, так как стоит Cisco и VmWare, а удалить их не возможно так как все файлы в том числе и унинсталлеры зашифрованы. 

README kasper.txt FRST.txt Addition.txt

Простите, предыдущим постом выложил обрезанные файлы. 

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано
Цитата

так как стоит Cisco и VmWare, а удалить их не возможно

Пробуйте поверх установить, хотя возможно что новая установка  будет связана с деинсталляцией предыдущей установки.

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-13 16:21 - 2024-08-13 16:21 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Users\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-13 16:20 - 2024-08-13 16:20 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
FirewallRules: [{9D834C95-398C-4DFF-8070-E321786F7E2C}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{2082411C-D0AC-484B-94CE-FA7C49B8356E}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3886E0B7-CE90-4E96-ADD8-1CEDA4CF8DEB}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{96EB1F3F-5A0D-4B1D-9E09-8BF8E41A5D01}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{BD0E7AE9-3622-4FC3-9860-80A257075377}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{54025447-E2AF-44D4-B31E-441C8DA7B39C}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{76477673-290D-4CF9-A951-292ED9668467}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{82887E3A-194D-4701-9A46-9EC9F6517025}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{045589A8-28BD-4DD4-B55E-881C2256BE6A}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{1E62AA21-420C-4703-8322-1AE2A1ACE6A6}] => (Allow) C:\Program Files (x86)\Ассистент\assistant.exe => Нет файла
FirewallRules: [{F24E4D1F-942B-4B07-BF50-A13998A8AB19}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{276AD132-0C20-4154-B4D6-A9C5DF766356}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

thyrex

thyrex

Опубликовано
Опубликовано
20 часов назад, safety сказал:

Добавьте файл Fixlog.txt

а Вы что прислали...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ligiray
      Зашифровали файлы на ***.kasper
      Автор ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Lex89
      Взломали по RDP и зашифровали все файлы с расширением .pe32s
      Автор Lex89
      Сегодня произошел взлом по RDP и запуск шифратора 
      Примеры зашифрованных файлов, письмо о переводе денег, данные FRST во вложении
      Пароль от архива с вирусом - 12345
      Addition.txt FRST.txt Pe32-v4.1.1.rar README.txt Пример зашифрованных файлов.rar
    • Croony
      Через RDP шифровальщик с расширением .frank
      Автор Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
    • Missing files
      Зашифровали сервер через RDP
      Автор Missing files
      Здравствуйте, впервые сталкиваюсь с такой проблемой, как вирус шифровальщик, попутно накинули Virus.Win32.Neshta.a (определил касперский)
      Беда в том, что под раздачу попала база данных.
      По логам сервера начали взлом ночью, ip которые зафиксировались были из юго-восточной Азии
      Прикрепил файлы Farbar Recovery Scan Tool ; картинку того, что предполагает Битдефендер.
      В архиве два зашифрованных файла, один из них оригинал, письмо требований и файл с названием key.dec (нужен ли он ? 😅)
      Помогите пожалуйста

      Addition.txt FRST.txt 2 зашифрованых, 1 файл оригинал, письмо с требованием, файл keydec.rar
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
×
×
  • Создать...