Перейти к содержанию

Шифровальщик

Thunderer
 Поделиться

Рекомендуемые сообщения

Thunderer Новичок

Thunderer

Опубликовано
Опубликовано

Зашифровали файлы на компьютере и все общие папки 

Подключились к компьютеру по RDP 

В архиве логи frst, зашифрованный и расшифрованный файлы

-Файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Если систему сканировали Cureit или KVRT добавьте в архиве без пароля отчеты по сканированию

+

покажите что в этой папке

2024-11-29 15:31 - 2025-02-08 12:29 - 000000000 ____D C:\Users\Manager\Desktop\321

 

Ссылка на комментарий
Поделиться на другие сайты
Thunderer Новичок

Thunderer

Опубликовано
  • Автор
Опубликовано

в архиве "virus!" папка с файлами, которые извлек из карантина,

который на скрине отчета о сканировании виден.

пароль на архив: warning!

 

как показать содержимое папки - не совсем понял, сделал просто команду dir

kvrt_scan_report.jpg

содержимое папки 321.txt virus!.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Спасибо.

Один из файлов является архивом, который содержит 32 и 64 битную версии шифровальщика.

Вообщем, это Proton. Характерное имя сэмпла.

https://virusscan.jotti.org/ru-RU/filescanjob/w5x4vo7v30

на VT пока не проверил.

проверил:

64:

https://www.virustotal.com/gui/file/3725ba487ce247483a28e9e7073e1d2572c30d125f9ef364b9d084e4377d0cd0

32:

https://www.virustotal.com/gui/file/7489c432e83db515af334cf40d7fcd4fe1f1c881ca228541497cbbbcdc42acef

 

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Startup: C:\Users\Manager\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-02-08] () [Файл не подписан]
Startup: C:\Users\Manager\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zfIWxLdYRw.helpo2 [2025-02-08] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S4 IObitUnlocker; \??\C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlocker.sys [X]
2025-02-08 23:05 - 2025-02-08 23:05 - 000002224 _____ C:\Users\Manager\advanced_ip_scanner_MAC.bin
2025-02-08 23:05 - 2025-02-08 23:05 - 000000015 _____ C:\Users\Manager\advanced_ip_scanner_Comments.bin
2025-02-08 23:05 - 2025-02-08 23:05 - 000000015 _____ C:\Users\Manager\advanced_ip_scanner_Aliases.bin
2025-02-08 14:47 - 2025-02-08 14:47 - 009216054 _____ C:\ProgramData\FBA9224DE81F4F955FB1BB928EAF75AA.bmp
2025-02-08 12:41 - 2025-02-08 12:41 - 000000450 _____ C:\Users\Public\Downloads\#HowToRecover.txt
2025-02-08 12:41 - 2025-02-08 12:41 - 000000450 _____ C:\Users\Public\#HowToRecover.txt
2025-02-08 12:25 - 2025-02-08 12:25 - 000000450 _____ C:\Users\#HowToRecover.txt
2025-02-08 12:25 - 2025-02-08 12:25 - 000000450 _____ C:\#HowToRecover.txt
2025-02-01 22:47 - 2025-02-08 12:27 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2025-02-01 22:43 - 2025-02-08 12:28 - 000000000 ____D C:\ProgramData\IObit
2025-02-01 22:43 - 2025-02-08 12:27 - 000000000 ____D C:\Program Files (x86)\IObit
2025-02-01 22:43 - 2025-02-01 22:43 - 002248928 _____ (IObit ) C:\Users\Manager\Downloads\unlocker-setup.exe
2025-02-01 22:43 - 2025-02-01 22:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-02-08 22:00 - 2023-05-15 00:10 - 000000000 ____D C:\Users\Manager\Desktop\Scan all network
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Шифровальщик KOZANOSTRA
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
×
×
  • Создать...