Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.

Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.

FRST.zip EncryptedFiles.zip

Опубликовано (изменено)

Система не долечена до конца после майнера John,

даже учетная запись с правами Администратора сохранена (с известным злоумышленникам паролем)

john (S-1-5-21-781910040-1567905059-268341649-1004 - Administrator - Enabled) => C:\Users\john

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.

 

3 часа назад, Andrei Butyrchyk сказал:

Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.

Добавьте данные файлы в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на загрузку в ваше сообщение.

Изменено пользователем safety
Опубликовано

Сэмпл шифровальщика, скорее всего 12.exe и он зашифрован.

2024-11-08 02:18 - 2024-11-08 02:18 - 001039378 _____ C:\12.exe.Mail-[mammoncomltd@gmail.com]ID-[PU91XS1JBE].mammn

Вручную дочистите папку пользователя John, остались еще хвосты

2024-10-11 03:40 - 2024-11-08 02:48 - 000000000 ____D C:\Users\john\AppData\Roaming\WinRAR

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {14004EAC-E990-45B5-B074-E8D5BF9348DD} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
Task: {5F7B001C-6566-4CFF-8DBC-277ED14D9BB5} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {D9313EAE-4490-4C10-BC34-57BF46F18B9C} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {EE39FB0B-59FB-4F2B-9ABE-B4881AEB28BC} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
2024-11-08 02:18 - 2024-11-08 02:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-08 02:18 - 2024-11-08 02:18 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-12-20 21:57 - 2023-07-20 16:15 - 000000000 ____D C:\Users\john
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
×
×
  • Создать...