Перейти к содержанию

Рекомендуемые сообщения

Поймали вирус, когда открыли порт 3389, для удаленного подключения к компьютеру.  Сообщений никаких не выходило. Через время многие файлы стали зашифрованы. После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Addition.txt FRST.txt зашифрованные файлы.rar файл с требованиями.rar файлы до шифрования.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно, пожалуйста, папку

Цитата

C:\KVRT2020_Data\Reports

упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

29 минут назад, Sandor сказал:

Здравствуйте!

 

Дополнительно, пожалуйста, папку

упакуйте в архив и прикрепите к следующему сообщению.

Файл отчетов C:\KVRT2020_Data\Reports

Reports.rar

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Jermixter сказал:

После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

25 минут назад, safety сказал:

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

 

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Jermixter сказал:

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-09-17 13:04 - 2024-09-17 13:04 - 000000000 ____D C:\temp
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Roaming\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\LocalLow\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Local\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\ProgramData\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus. загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, safety сказал:

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Лечил с помощью утилиты. Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время. В любом случае просканирую с загрузочного диска.

Спасибо. Позже отпишусь

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Jermixter сказал:

Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, safety сказал:

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Благодарю за участие и помощь

Ссылка на комментарий
Поделиться на другие сайты

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • valkovaleksandr
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • AJIEKCAHDP
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Restinn
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
    • frozzen
      Автор frozzen
      Сеть подверглась атаке шифровальщика ZEPPELIN. 
      Все файлы зашифрованы, в том числе многие системные (на некоторых компах перестали работать Офисы, слетели профили аккаунтов почтовых программ).
      Есть ли какие-нибудь инструменты для восстановления.. и надежда?
      В архиве файл с требованиями и пара зашифрованных файлов.
      files2.zip
×
×
  • Создать...