Перейти к содержанию

Помощь в расшифровке файлов

gin
 Share

Рекомендуемые сообщения

safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Систему сканировали в KVRT?

2024-12-26 20:33 - 2024-12-27 21:32 - 000000000 ____D C:\KVRT2020_Data

Можете предоставить отчеты о сканировании, проверить что было обнаружено?

+

покажите содержимое этой папки:

2024-12-25 10:41 - 2024-12-25 10:51 - 000000000 ____D C:\Users\buh\Documents\X-x

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Отчеты нужны только те, которые были сделаны после шифрования системы.

Лучше чтобы отчеты были в виде файлов из папки C:\KVRT2020_Data

 

по папке C:\Users\buh\Documents\X-x понятно, скорее всего здесь был сэмпл шифровальщика и он сейчас в зашифрованном виде.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Neshta пролечили из под загрузочного KRD или с помощью KVRT? Сэмпл шифровадльщика был дополнительно заражен Neshta, чтобы противодействовать антивирусным программам.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Downloads\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Documents\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Desktop\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Roaming\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\LocalLow\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Local\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\#Recover-Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
gin Новичок

gin

Опубликовано
  • Автор
Опубликовано

Готово

Fixlog.txt

16 минут назад, safety сказал:

Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным.

Это сейчас надо сделать?

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Сейчас нет, но на будущее - да. Вообще, можно и перепроверить системный диск из под KRD

 

К сожалению, с расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
теперь, когда ваши фвйлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Marauders666
      Необходима помощь в расшифровке после Mimic
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Алексей Медек
      Уведомление о событиях с помощью исполняемого файла
      От Алексей Медек
      Доброго дня, у кого-нибудь есть пример как вызывать .BAT или .EXE для срабатывания 'Уведомление о событиях с помощью исполняемого файла' из раздела Уведомления Свойств сервера KSC 14.2 на Windows.
      Конкретная цель - отправлять уведомления в Telegram.
       

    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • tr01
      Нужна помощь с восстановлением файлов
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
×
×
  • Создать...