sauron Помощь в расшифровке файлов

[gin]

Добрый день! Просьба помочь расшифровать файлы

логи FRST.zip записка.zip примеры файлов.zip

[safety]

Систему сканировали в KVRT?

2024-12-26 20:33 - 2024-12-27 21:32 - 000000000 ____D C:\KVRT2020_Data

Можете предоставить отчеты о сканировании, проверить что было обнаружено?

+

покажите содержимое этой папки:

2024-12-25 10:41 - 2024-12-25 10:51 - 000000000 ____D C:\Users\buh\Documents\X-x

 

Изменено 4 января пользователем safety

[gin]

Необходимые данные приложены

[safety]

Отчеты нужны только те, которые были сделаны после шифрования системы.

Лучше чтобы отчеты были в виде файлов из папки C:\KVRT2020_Data

 

по папке C:\Users\buh\Documents\X-x понятно, скорее всего здесь был сэмпл шифровальщика и он сейчас в зашифрованном виде.

[gin]

Отчеты прикрепил

Reports.zip

[safety]

Neshta пролечили из под загрузочного KRD или с помощью KVRT? Сэмпл шифровадльщика был дополнительно заражен Neshta, чтобы противодействовать антивирусным программам.

Изменено 4 января пользователем safety

[gin]

KVRT только, много перезагрузок просил, после нескольких проходов перестал выдавать, что есть зараженные файлы.

[safety]

Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным.

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Downloads\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Documents\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Desktop\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Roaming\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\LocalLow\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Local\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\#Recover-Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[gin]

Готово

Fixlog.txt

16 минут назад, safety сказал:

Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным.

Это сейчас надо сделать?

[safety]

Сейчас нет, но на будущее - да. Вообще, можно и перепроверить системный диск из под KRD

 

К сожалению, с расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено 4 января пользователем safety

[gin]

Принято

[safety]

теперь, когда ваши фвйлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[gin]

Спасибо, это и многое другое будем делать