Перейти к содержанию

Рекомендуемые сообщения

Поймали вирус, когда открыли порт 3389, для удаленного подключения к компьютеру.  Сообщений никаких не выходило. Через время многие файлы стали зашифрованы. После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Addition.txt FRST.txt зашифрованные файлы.rar файл с требованиями.rar файлы до шифрования.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно, пожалуйста, папку

Цитата

C:\KVRT2020_Data\Reports

упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, Sandor сказал:

Здравствуйте!

 

Дополнительно, пожалуйста, папку

упакуйте в архив и прикрепите к следующему сообщению.

Файл отчетов C:\KVRT2020_Data\Reports

Reports.rar

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Jermixter сказал:

После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, safety сказал:

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

 

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Jermixter сказал:

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-09-17 13:04 - 2024-09-17 13:04 - 000000000 ____D C:\temp
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Roaming\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\LocalLow\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Local\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\ProgramData\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus. загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, safety сказал:

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Лечил с помощью утилиты. Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время. В любом случае просканирую с загрузочного диска.

Спасибо. Позже отпишусь

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Jermixter сказал:

Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, safety сказал:

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Благодарю за участие и помощь

Ссылка на сообщение
Поделиться на другие сайты
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
×
×
  • Создать...