Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Шифровальщик вымогатель. Расширение .y8ItHTbGJ

Always_Young
 Поделиться

Рекомендуемые сообщения

Always_Young Новичок

Always_Young

Опубликовано
Опубликовано

Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

VirusTotal.jpg

Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Always_Young Новичок

Always_Young

Опубликовано
  • Автор
Опубликовано
36 минут назад, safety сказал:

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

 

Message17394359721385731838.zip Отчеты KRD и KVRT.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Цитата

На ПК пришло письмо с файлом с раширением .cab.

1. блокируйте запуск исполняемых файлов из архивов через локальные политики.

2. информируйте сотрудников о подозрительных расширениях архивов из вложений, требуйте от поставщиков архивы только определенного формата. (rar, zip, 7z с какими удобнее работать)

 

Если файл проверяли на VT, то можно обратить внимание а это: что содержится внутри этого "архива".

 

image.png

RTF файл добавлен для отвлечения внимания.

 

image.png

 

Судя по отчету KVRT система очищена от активных тел шифровальщика.

 

Дополнительно выполнит очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKU\S-1-5-21-1936055778-3461548480-1539005704-1000\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\cafetaria2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y8ItHTbGJ.README.txt [2025-02-12] () [Файл не подписан]
CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2025-02-12 05:04 - 2025-02-12 05:03 - 000001934 _____ C:\Users\y8ItHTbGJ.README.txt
2025-02-12 05:03 - 2025-02-12 05:03 - 000001934 _____ C:\y8ItHTbGJ.README.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Да, диспетчер процессов должен заработать,

 

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Обратите внимание на статистику обращений по данному шифровальщику по данной конкретной группе room155. Рассылки подобных писем проводится регулярно, 1-2 раза в месяц. Там что может оказаться, что атака повторится, если не принимать никаких мер.

 

image.png

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Rome0
      Шифровальщик-вымогатель .kwx8
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
×
×
  • Создать...