Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Помощь в расшифровке файлов

gin
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Систему сканировали в KVRT?

2024-12-26 20:33 - 2024-12-27 21:32 - 000000000 ____D C:\KVRT2020_Data

Можете предоставить отчеты о сканировании, проверить что было обнаружено?

+

покажите содержимое этой папки:

2024-12-25 10:41 - 2024-12-25 10:51 - 000000000 ____D C:\Users\buh\Documents\X-x

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Отчеты нужны только те, которые были сделаны после шифрования системы.

Лучше чтобы отчеты были в виде файлов из папки C:\KVRT2020_Data

 

по папке C:\Users\buh\Documents\X-x понятно, скорее всего здесь был сэмпл шифровальщика и он сейчас в зашифрованном виде.

safety

safety

Опубликовано
Опубликовано (изменено)

Neshta пролечили из под загрузочного KRD или с помощью KVRT? Сэмпл шифровадльщика был дополнительно заражен Neshta, чтобы противодействовать антивирусным программам.

Изменено пользователем safety
gin

gin

Опубликовано
  • Автор
Опубликовано

KVRT только, много перезагрузок просил, после нескольких проходов перестал выдавать, что есть зараженные файлы.

safety

safety

Опубликовано
Опубликовано

Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным.

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Downloads\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Documents\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\Desktop\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Roaming\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\LocalLow\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\AppData\Local\#Recover-Files.txt
2024-12-25 10:51 - 2024-12-25 10:51 - 000000613 _____ C:\Users\sklad\#Recover-Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

gin

gin

Опубликовано
  • Автор
Опубликовано

Готово

Fixlog.txt

16 минут назад, safety сказал:

Вообще, рекомендуется Neshta лечить из под загрузочного диска, потому что при активном Neshta сама утилита может быть заражена. И лечение уже будет бесполезным.

Это сейчас надо сделать?

safety

safety

Опубликовано
Опубликовано (изменено)

Сейчас нет, но на будущее - да. Вообще, можно и перепроверить системный диск из под KRD

 

К сожалению, с расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
теперь, когда ваши фвйлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • R-r-r
      Шифровальщик (перебор rdp)
      Автор R-r-r
      схватил вчера, адрес brunobiden76@gmail.com  и brickscold6@gmail.com  FRST прогнал
      Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com].zip Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip Armguard.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt Addition.txt
    • АлександрЮ
      шифровальщик [ID-9A701949].[Telegram ID @kind_ad].LGJIID
      Автор АлександрЮ
      Систему переустановили ранее, предшественник оставил диск с зашифрованными файлами. Прошу помощи в определении и если получится расшифровке. Вложения - текстовик вируса и в архиве зашифрованные файлы \самого зловреда там нет, поэтому пароль на архив не ставил\
      #HOW-TO-RESTORE-YOUR-FILES.txt buh_Кундряк.rar
    • Gena1589
      Шифровальщик с расширением .BQPEKB семейства Phobos
      Автор Gena1589
      Добрый день
      Словили шифровальщика, зашифровал сервера, включая те которые  были по vpn туннелю, может кто сталкивался с ним? Оставил свой телеграмм, а не почту. Куда копать, чтобы понять с кого и с чего все началось? В одной из папок обнаружил батники, программы взломщика




    • Volos
      Поймали шифровальщик, пострадали 3 компьютера
      Автор Volos
      Зашифрованы файлы на трех компьютерах. Одна из машин теперь не запускается, была запущена полная проверка Касперским. Обнаружены два вредоносных файла (приложил фото).
      Запустил сканирование FRST на другой машине, которая запускается (логи и файлы с требованиями приложил)

       
      файлы.zip Addition.txt FRST.txt
    • s.vetoshkin
      Здравствуйте. Шифровальщик зашифровал файлы помогите пожалуйста расшифровать
      Автор s.vetoshkin
      infected!!!.zip
      Сообщение от модератора thyrex Перенесено в раздел по шифровальщикам
×
×
  • Создать...