manner Опубликовано 8 февраля Share Опубликовано 8 февраля Добрый день! Поймали шифровальщик на офисном ПК. Подскажите пожалуйста, есть ли варианты дешифрации? FRST.txt Addition.txt DeCrYpTiOn_+_examples.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 8 февраля Share Опубликовано 8 февраля По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [Vagina.exe] => C:\Users\Buh1\AppData\Local\DeCrYpTiOn.txt [2507 2025-02-02] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] ゚タᄌᄇᄉツ! メᄚネ テᄑᄌᄎᄚᄏフᄑヒᄍ ᄌᄡᄉᄑツᄌトᄌᄎᄚツᄒタ: n1QYzQ2xo0deQAQjnWM5u0rfw6GXBNgmG4FVNAf-vxI*platishilidrochish@fear.pw IFEO\1cv8.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\1cv8c.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\1cv8s.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe Startup: C:\Users\Buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NCALayer.lnk [2022-06-06] ShortcutTarget: NCALayer.lnk -> C:\Users\Buh1\AppData\Roaming\NCALayer\NCALayer.exe (Нет файла) Startup: C:\Users\Buh1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2025-01-17] ShortcutTarget: Punto Switcher.lnk -> C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ 2025-02-03 01:52 - 2024-06-23 23:44 - 000000000 __SHD C:\Users\Buh1\AppData\Local\01F1CBFE-D78C-7FE0-7AA1-94CAEC5DBD4A 2025-02-02 20:41 - 2025-02-02 20:41 - 000000000 ____D C:\temp Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
manner Опубликовано 10 февраля Автор Share Опубликовано 10 февраля Очистку провели, файлы приложил Fixlog.txt Quarantine.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 10 февраля Share Опубликовано 10 февраля Это единственный ПК, который был зашифрован? С расшифровкой файлов по данному типу шифровальщиков не сможем помочь без приватного ключа. теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Ссылка на комментарий Поделиться на другие сайты More sharing options...
manner Опубликовано 10 февраля Автор Share Опубликовано 10 февраля Только что, safety сказал: Это единственный ПК, который был зашифрован? Да. Еще были зашифрованы файлы в сетевых samba директориях, доступных на запись с этого компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 10 февраля Share Опубликовано 10 февраля (изменено) Возможно, то единственное устройство, на котором был выполнен запуск шифровальщика, на других устройствах могли быть зашифрованы только каталоги, которые были доступны для записи по сети с данного устройства. (т.е. признаков заражения на них не будет, кроме записок о выкупе и зашифрованных файлов.) Изменено 10 февраля пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти