rcru64 Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH

5 декабря

Windows Server 2012 Standart

Зашифрованы документы, базы 1с на диске С и D

5 декабря

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

6 декабря

05.12.2024 в 15:49, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Приветствую Вас, пролечили указанным средством логи ниже

Addition.txt FRST.txt

Изменено 6 декабря пользователем mitenevi29

6 декабря

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

7 декабря

14 часов назад, mitenevi29 сказал:

https://disk.yandex.ru/d/B5Neu0VCTl1VTA

Addition.txt 24.42 kB · 0 загрузок FRST.txt 83.14 kB · 0 загрузок

7 декабря

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

11 часов назад, safety сказал:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

В архив упакуйте обязательно с паролем.

7 декабря

3 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Приветствую, откуда взять это Vertalic@Tuta.io_Fast.exe

Можно попроще как-то расписать действия.

Я сделал.

Почистил зараженный ПК KRD из под загрузчика ventoy.

Далее сделал логи системы , запаковал, поставил пароль virus, загрузил на яндекс диск, ссылку скинул сюда.

Понять не могу что это за действие ?

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

7 декабря

18 минут назад, mitenevi29 сказал:

Понять не могу что это за действие ?

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

Изменено 7 декабря пользователем safety

7 декабря

4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

29 минут назад, safety сказал:

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

готово

Изменено 7 декабря пользователем safety

7 декабря

4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

готово

7 декабря

21 минуту назад, mitenevi29 сказал:

готово

Просьба - не цитировать наши ответы. Надеюсь, понятная для вас.

по вашей ссылке - я ее удалил после скачивания, архива файл шифровальщика, которым зашифрованы файлы.

результат проверки здесь.

https://virusscan.jotti.org/ru-RU/filescanjob/0mcnsdkit5

Скрипт очистки системы сейчас добавлю в следующем сообщении.

7 декабря

По очистке системы в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Startup: C:\Users\kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-12-04 02:53 - 2024-12-04 02:53 - 000006143 _____ C:\Users\Администратор\Desktop\ReadMe.hta
2024-12-04 02:53 - 2024-12-04 02:53 - 000001838 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-12-04 01:41 - 2024-12-05 23:40 - 001267200 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe
2024-12-04 01:40 - 2024-12-05 23:40 - 002266128 _____ (voidtools) C:\Users\Администратор\Desktop\Everything.exe
2024-12-04 01:32 - 2024-11-15 23:30 - 000000689 _____ C:\Windows\system32\cmd.bat
2024-12-04 01:31 - 2024-12-05 23:40 - 000940080 _____ (SoftPerfect Research) C:\Users\Buhgalter\Desktop\0netscan.exe
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Local\Restore_Your_Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

7 декабря

Fixlog.txt_[ID-KTRKI_Mail-Vertalic@Tuta.io].rar

7 декабря

@mitenevi29,

вы какое отношение имеете к теме топикстартера?

Судя по Fixlog..txt вас опять шифровали, возможно в момент выполнения скрипта.

(Или сами запустили тело шифровальщика.)

С расшифровкой по данному типу шифровальщика не сможем помочь.

https://id-ransomware.blogspot.com/2021/04/rcru64-ransomware.html

Изменено 7 декабря пользователем safety

rcru64 Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH

Рекомендуемые сообщения

hafer

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

mitenevi29

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

mitenevi29

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

mitenevi29

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

mitenevi29

Ссылка на комментарий

Поделиться на другие сайты

mitenevi29

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

mitenevi29

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum