Перейти к содержанию

Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH

hafer
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

mitenevi29

mitenevi29

Опубликовано
Опубликовано (изменено)
05.12.2024 в 15:49, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Приветствую Вас, пролечили указанным средством логи ниже

Addition.txt FRST.txt

Изменено пользователем mitenevi29
safety

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Sandor

Sandor

Опубликовано
Опубликовано

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

11 часов назад, safety сказал:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

В архив упакуйте обязательно с паролем.

mitenevi29

mitenevi29

Опубликовано
Опубликовано
3 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Приветствую, откуда взять это Vertalic@Tuta.io_Fast.exe

 Можно попроще как-то расписать действия.

Я сделал.

Почистил зараженный ПК KRD из под загрузчика ventoy.

Далее сделал логи системы , запаковал, поставил пароль virus, загрузил на яндекс диск, ссылку скинул сюда.

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

safety

safety

Опубликовано
Опубликовано (изменено)
18 минут назад, mitenevi29 сказал:

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

Изменено пользователем safety
mitenevi29

mitenevi29

Опубликовано
Опубликовано (изменено)
4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

 

 

29 минут назад, safety сказал:

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

готово

Изменено пользователем safety
mitenevi29

mitenevi29

Опубликовано
Опубликовано
4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

готово

safety

safety

Опубликовано
Опубликовано
21 минуту назад, mitenevi29 сказал:

готово

Просьба - не цитировать наши ответы. Надеюсь, понятная для вас.

по вашей ссылке  - я ее удалил после скачивания, архива файл шифровальщика, которым зашифрованы файлы.

результат проверки здесь.

https://virusscan.jotti.org/ru-RU/filescanjob/0mcnsdkit5

 

Скрипт очистки системы сейчас добавлю в следующем  сообщении.

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
Startup: C:\Users\kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-12-04 02:53 - 2024-12-04 02:53 - 000006143 _____ C:\Users\Администратор\Desktop\ReadMe.hta
2024-12-04 02:53 - 2024-12-04 02:53 - 000001838 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-12-04 01:41 - 2024-12-05 23:40 - 001267200 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe
2024-12-04 01:40 - 2024-12-05 23:40 - 002266128 _____ (voidtools) C:\Users\Администратор\Desktop\Everything.exe
2024-12-04 01:32 - 2024-11-15 23:30 - 000000689 _____ C:\Windows\system32\cmd.bat
2024-12-04 01:31 - 2024-12-05 23:40 - 000940080 _____ (SoftPerfect Research) C:\Users\Buhgalter\Desktop\0netscan.exe
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Local\Restore_Your_Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

safety

safety

Опубликовано
Опубликовано (изменено)

@mitenevi29,

вы какое отношение имеете к теме топикстартера?

 

Судя по Fixlog..txt вас опять шифровали, возможно в момент выполнения скрипта.

(Или сами запустили тело шифровальщика.)

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

https://id-ransomware.blogspot.com/2021/04/rcru64-ransomware.html

 

 

Изменено пользователем safety
  • safety закрыл тема
  • safety открыл тема

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ant1tr3nd
      Заражён шифровальщиком Hunter-X@tuta.io
      Автор ant1tr3nd
      Добрый день. Сервер был заражен шифровальщиком. 
      Все файлы он переименовал и добавил расширение
      ~$АНАЛИЗ  2020.xlsx.id[07348D30-3335].[Hunter-X@tuta.io].HUNTER
      Вот как выглядит зашифрованный файл. Раньше назывался просто АНАЛИЗ 2020
      Прошу помочь(
       
    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Андрей007090
      Помогите поймал шифровальщика плиссс
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • Denys Kordelski
      Шифровальщик Hunter-X@tuta.io].HUNTER
      Автор Denys Kordelski
      ??? Какой утилитой можно спасти Фалы с расширением - [Hunter-X@tuta.io].HUNTER             Которые появились после вируса шифровщика.. Был бы очень благодарен за пмошь.
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
×
×
  • Создать...