Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH

hafer
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано (изменено)
05.12.2024 в 15:49, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Приветствую Вас, пролечили указанным средством логи ниже

Addition.txt FRST.txt

Изменено пользователем mitenevi29
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

11 часов назад, safety сказал:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

В архив упакуйте обязательно с паролем.

Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано
3 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Приветствую, откуда взять это Vertalic@Tuta.io_Fast.exe

 Можно попроще как-то расписать действия.

Я сделал.

Почистил зараженный ПК KRD из под загрузчика ventoy.

Далее сделал логи системы , запаковал, поставил пароль virus, загрузил на яндекс диск, ссылку скинул сюда.

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
18 минут назад, mitenevi29 сказал:

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано (изменено)
4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

 

 

29 минут назад, safety сказал:

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

готово

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано
4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

готово

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
21 минуту назад, mitenevi29 сказал:

готово

Просьба - не цитировать наши ответы. Надеюсь, понятная для вас.

по вашей ссылке  - я ее удалил после скачивания, архива файл шифровальщика, которым зашифрованы файлы.

результат проверки здесь.

https://virusscan.jotti.org/ru-RU/filescanjob/0mcnsdkit5

 

Скрипт очистки системы сейчас добавлю в следующем  сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
Startup: C:\Users\kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-12-04 02:53 - 2024-12-04 02:53 - 000006143 _____ C:\Users\Администратор\Desktop\ReadMe.hta
2024-12-04 02:53 - 2024-12-04 02:53 - 000001838 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-12-04 01:41 - 2024-12-05 23:40 - 001267200 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe
2024-12-04 01:40 - 2024-12-05 23:40 - 002266128 _____ (voidtools) C:\Users\Администратор\Desktop\Everything.exe
2024-12-04 01:32 - 2024-11-15 23:30 - 000000689 _____ C:\Windows\system32\cmd.bat
2024-12-04 01:31 - 2024-12-05 23:40 - 000940080 _____ (SoftPerfect Research) C:\Users\Buhgalter\Desktop\0netscan.exe
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Local\Restore_Your_Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

@mitenevi29,

вы какое отношение имеете к теме топикстартера?

 

Судя по Fixlog..txt вас опять шифровали, возможно в момент выполнения скрипта.

(Или сами запустили тело шифровальщика.)

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

https://id-ransomware.blogspot.com/2021/04/rcru64-ransomware.html

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
  • safety открыл тема

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • barkalova
      Поймал шифровальщик gatilavtuz@msg
      Автор barkalova
      Поймали шифровальщик gatilavtuz@msg на рабочую машину,  попросили за дешифровку 400 000р! Есть ли какой то способ вернуть файлы? помогите!
      Addition.txt FRST.txt Desktop.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
×
×
  • Создать...