Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH

hafer
 Share

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано (изменено)
  05.12.2024 в 12:49, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Expand  

Приветствую Вас, пролечили указанным средством логи ниже

Addition.txtПолучение информации... FRST.txtПолучение информации...

Изменено пользователем mitenevi29
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

  06.12.2024 в 22:12, safety сказал:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Expand  

В архив упакуйте обязательно с паролем.

Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано
  07.12.2024 в 09:41, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Expand  

Приветствую, откуда взять это Vertalic@Tuta.io_Fast.exe

 Можно попроще как-то расписать действия.

Я сделал.

Почистил зараженный ПК KRD из под загрузчика ventoy.

Далее сделал логи системы , запаковал, поставил пароль virus, загрузил на яндекс диск, ссылку скинул сюда.

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  07.12.2024 в 13:33, mitenevi29 сказал:

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Expand  

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано (изменено)
  07.12.2024 в 09:41, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Expand  

 

 

  07.12.2024 в 13:44, safety сказал:

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

Expand  

готово

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
mitenevi29 Новичок

mitenevi29

Опубликовано
Опубликовано
  07.12.2024 в 09:41, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Expand  

готово

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
  07.12.2024 в 13:52, mitenevi29 сказал:

готово

Expand  

Просьба - не цитировать наши ответы. Надеюсь, понятная для вас.

по вашей ссылке  - я ее удалил после скачивания, архива файл шифровальщика, которым зашифрованы файлы.

результат проверки здесь.

https://virusscan.jotti.org/ru-RU/filescanjob/0mcnsdkit5

 

Скрипт очистки системы сейчас добавлю в следующем  сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
Startup: C:\Users\kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-12-04 02:53 - 2024-12-04 02:53 - 000006143 _____ C:\Users\Администратор\Desktop\ReadMe.hta
2024-12-04 02:53 - 2024-12-04 02:53 - 000001838 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-12-04 01:41 - 2024-12-05 23:40 - 001267200 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe
2024-12-04 01:40 - 2024-12-05 23:40 - 002266128 _____ (voidtools) C:\Users\Администратор\Desktop\Everything.exe
2024-12-04 01:32 - 2024-11-15 23:30 - 000000689 _____ C:\Windows\system32\cmd.bat
2024-12-04 01:31 - 2024-12-05 23:40 - 000940080 _____ (SoftPerfect Research) C:\Users\Buhgalter\Desktop\0netscan.exe
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Local\Restore_Your_Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

@mitenevi29,

вы какое отношение имеете к теме топикстартера?

 

Судя по Fixlog..txt вас опять шифровали, возможно в момент выполнения скрипта.

(Или сами запустили тело шифровальщика.)

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

https://id-ransomware.blogspot.com/2021/04/rcru64-ransomware.html

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
  • safety unlocked this тема

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...