gin Опубликовано 4 января Share Опубликовано 4 января Добрый день! Просьба помочь расшифровать файлы логи FRST.zip записка.zip примеры файлов.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 4 января Share Опубликовано 4 января (изменено) Систему сканировали в KVRT? 2024-12-26 20:33 - 2024-12-27 21:32 - 000000000 ____D C:\KVRT2020_Data Можете предоставить отчеты о сканировании, проверить что было обнаружено? + покажите содержимое этой папки: 2024-12-25 10:41 - 2024-12-25 10:51 - 000000000 ____D C:\Users\buh\Documents\X-x Изменено 4 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
gin Опубликовано 4 января Автор Share Опубликовано 4 января Необходимые данные приложены Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 4 января Share Опубликовано 4 января Отчеты нужны только те, которые были сделаны после шифрования системы. Лучше чтобы отчеты были в виде файлов из папки C:\KVRT2020_Data по папке C:\Users\buh\Documents\X-x понятно, скорее всего здесь был сэмпл шифровальщика и он сейчас в зашифрованном виде. Ссылка на комментарий Поделиться на другие сайты More sharing options...
gin Опубликовано 4 января Автор Share Опубликовано 4 января Отчеты прикрепил Reports.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 4 января Share Опубликовано 4 января (изменено) Neshta пролечили из под загрузочного KRD или с помощью KVRT? Сэмпл шифровадльщика был дополнительно заражен Neshta, чтобы противодействовать антивирусным программам. Изменено 4 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
gin Опубликовано 4 января Автор Share Опубликовано 4 января KVRT только, много перезагрузок просил, после нескольких проходов перестал выдавать, что есть зараженные файлы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 4 января Share Опубликовано 4 января Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 4 января Share Опубликовано 4 января По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Downloads\#Recover-Files.txt 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Documents\#Recover-Files.txt 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Desktop\#Recover-Files.txt 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Roaming\#Recover-Files.txt 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\LocalLow\#Recover-Files.txt 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Local\#Recover-Files.txt 2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\#Recover-Files.txt Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Ссылка на комментарий Поделиться на другие сайты More sharing options...
gin Опубликовано 4 января Автор Share Опубликовано 4 января Готово Fixlog.txt 16 минут назад, safety сказал: Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным. Это сейчас надо сделать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 4 января Share Опубликовано 4 января (изменено) Сейчас нет, но на будущее - да. Вообще, можно и перепроверить системный диск из под KRD К сожалению, с расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Изменено 4 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
gin Опубликовано 4 января Автор Share Опубликовано 4 января Принято Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 5 января Share Опубликовано 5 января теперь, когда ваши фвйлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Ссылка на комментарий Поделиться на другие сайты More sharing options...
gin Опубликовано 6 января Автор Share Опубликовано 6 января Спасибо, это и многое другое будем делать 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти