Перейти к содержанию

Шифровальщик datastore@cyberfear

Jermixter
 Поделиться

Рекомендуемые сообщения

Jermixter

Jermixter

Опубликовано
Опубликовано

Поймали вирус, когда открыли порт 3389, для удаленного подключения к компьютеру.  Сообщений никаких не выходило. Через время многие файлы стали зашифрованы. После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Addition.txt FRST.txt зашифрованные файлы.rar файл с требованиями.rar файлы до шифрования.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста, папку

Цитата

C:\KVRT2020_Data\Reports

упакуйте в архив и прикрепите к следующему сообщению.

Jermixter

Jermixter

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Здравствуйте!

 

Дополнительно, пожалуйста, папку

упакуйте в архив и прикрепите к следующему сообщению.

Файл отчетов C:\KVRT2020_Data\Reports

Reports.rar

safety

safety

Опубликовано
Опубликовано (изменено)
3 часа назад, Jermixter сказал:

После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

Изменено пользователем safety
Jermixter

Jermixter

Опубликовано
  • Автор
Опубликовано
25 минут назад, safety сказал:

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

 

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

safety

safety

Опубликовано
Опубликовано
3 минуты назад, Jermixter сказал:

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
2024-09-17 13:04 - 2024-09-17 13:04 - 000000000 ____D C:\temp
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Roaming\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\LocalLow\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Local\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\ProgramData\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus. загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Jermixter

Jermixter

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Лечил с помощью утилиты. Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время. В любом случае просканирую с загрузочного диска.

Спасибо. Позже отпишусь

safety

safety

Опубликовано
Опубликовано
1 минуту назад, Jermixter сказал:

Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Jermixter

Jermixter

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Благодарю за участие и помощь

safety

safety

Опубликовано
Опубликовано
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexeich
      Поймали шифровальщик Mimic/N3ww4v3
      Автор alexeich
      Помогите, аналогичная ситуация
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      FRST.txtAddition.txt
      MIMIC_LOG.txt
    • Steelot
      Шифровальщик mimic
      Автор Steelot
      Поймали шифровальщик mimic закриптовались базы 1с даже в архиве, есть ли хоть какой то шанс что то восстановить?
      FRST.txt
    • олег тод
      Данные зашифрованы UVE. Просят деньги за расшифровку. Прошу помощи
      Автор олег тод
      В ночь с 08 на 09 октября на компьютере с операционной системой Windows 10 все файлы были зашифрованы.
      При открытии любого из них, открывается "Decrypt_UVE - Блокнот" с текстом:
      "Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is ****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Подскажите, пожалуйста, возможно ли расшифровать файлы?
      И как купировать заразу на своих компьютерах
      shifrovka.7z cureit.log FRST.txt
    • sashakrug
      Шифровальщик zimmer 1488
      Автор sashakrug
      Здравствуйте!
      ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?
    • tr3ton51
      Шифровальщик поработал над компьютером бухгалтера
      Автор tr3ton51
      Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****gk*WWWWW-***gk
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - victor_ia@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      возможно ли спасти данные? прикрепил зашифрованные картинки
      How-to-decrypt.txt картинки.zip
×
×
  • Создать...