Перейти к содержанию

Рекомендуемые сообщения

Поймали вирус, когда открыли порт 3389, для удаленного подключения к компьютеру.  Сообщений никаких не выходило. Через время многие файлы стали зашифрованы. После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Addition.txt FRST.txt зашифрованные файлы.rar файл с требованиями.rar файлы до шифрования.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно, пожалуйста, папку

Цитата

C:\KVRT2020_Data\Reports

упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

29 минут назад, Sandor сказал:

Здравствуйте!

 

Дополнительно, пожалуйста, папку

упакуйте в архив и прикрепите к следующему сообщению.

Файл отчетов C:\KVRT2020_Data\Reports

Reports.rar

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Jermixter сказал:

После обнаружения была произведена проверка и обнаружение утилитой Kaspersky Virus Removal Tool. Прошу помочь в расшифровке файлов.

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

25 минут назад, safety сказал:

Object="D:\DISTR\backups\ortaserv\PUBLIC\base_db_1c\1C_Bases_v8_01082019\1cv82\8.2.13.219\bin\1cv8.exe" Info="Virus.Win32.Neshta.a" />

Исполняемые файлы были заражены Neshta.

П этой причине лучше пролечить систему из под загрузочного диска KRD

После лечения собрать новые логи FRST.

Прежний FRST удалите, возможно тоже был заражен. Скачайте заново по ссылке FRST.

 

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Jermixter сказал:

Поиск и лечение сделал изначально. После уже скачал FRST и собрал логи.

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
2024-09-17 13:04 - 2024-09-17 13:04 - 000000000 ____D C:\temp
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Downloads\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\Documents\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Roaming\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\LocalLow\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\Users\User\AppData\Local\README kasper.txt
2024-09-08 20:21 - 2024-09-08 20:21 - 000000413 _____ C:\ProgramData\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus. загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, safety сказал:

Лечение выполняли из под загрузочного KRD или с помощью утилиты KVRT? KVRT мог сам заразиться при запуске, если в системе был активный Neshta,

Лечил с помощью утилиты. Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время. В любом случае просканирую с загрузочного диска.

Спасибо. Позже отпишусь

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Jermixter сказал:

Сами файлы с Neshta просто лежали и никак не использовались и уже по ходу довольно долгое время

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, safety сказал:

Возможно, что и так. В любом случае необходимо проверить еще раз, тем же KVRT.

Mimic не был замечен в заражении Neshta.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

Благодарю за участие и помощь

Ссылка на комментарий
Поделиться на другие сайты

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Евгений885
      От Евгений885
      Нужна помощь в дешифрации данных
      virus.rar Addition.txt
      FRST.txt файлы.rar
    • Синтезит
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • R3DSTALK3R
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
×
×
  • Создать...