Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик вымогатель. Расширение .y8ItHTbGJ

Always_Young
 Поделиться

Рекомендуемые сообщения

Always_Young

Always_Young

Опубликовано
Опубликовано

Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

VirusTotal.jpg

Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

Изменено пользователем safety
Always_Young

Always_Young

Опубликовано
  • Автор
Опубликовано
36 минут назад, safety сказал:

Отчет по сканированию из KVRT так же добавьте в архиве, без пароля.

Если сохранилось письмо, добавьте в формате EML в архиве, с паролем virus

 

Message17394359721385731838.zip Отчеты KRD и KVRT.zip

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

На ПК пришло письмо с файлом с раширением .cab.

1. блокируйте запуск исполняемых файлов из архивов через локальные политики.

2. информируйте сотрудников о подозрительных расширениях архивов из вложений, требуйте от поставщиков архивы только определенного формата. (rar, zip, 7z с какими удобнее работать)

 

Если файл проверяли на VT, то можно обратить внимание а это: что содержится внутри этого "архива".

 

image.png

RTF файл добавлен для отвлечения внимания.

 

image.png

 

Судя по отчету KVRT система очищена от активных тел шифровальщика.

 

Дополнительно выполнит очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKU\S-1-5-21-1936055778-3461548480-1539005704-1000\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\cafetaria2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y8ItHTbGJ.README.txt [2025-02-12] () [Файл не подписан]
CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2025-02-12 05:04 - 2025-02-12 05:03 - 000001934 _____ C:\Users\y8ItHTbGJ.README.txt
2025-02-12 05:03 - 2025-02-12 05:03 - 000001934 _____ C:\y8ItHTbGJ.README.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено пользователем safety
Always_Young

Always_Young

Опубликовано
  • Автор
Опубликовано

Перезагрузка прошла без окна вымогателя. Загрузился быстрее. Есть ли возможность восстановить файлы?

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Да, диспетчер процессов должен заработать,

 

по расшифровке файлов после атаки LockbitV3Black, к сожалению, не сможем вам помочь, не имея приватного ключа.

Поскольку сэмпл шифровальщика содержит только публичный ключ, а приватный ключ и дешифратор остаются на стороне злоумышленников. На текущий момент восстановление данных возможно только из бэкапов.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Обратите внимание на статистику обращений по данному шифровальщику по данной конкретной группе room155. Рассылки подобных писем проводится регулярно, 1-2 раза в месяц. Там что может оказаться, что атака повторится, если не принимать никаких мер.

 

image.png

Изменено пользователем safety
  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sva_zar
      сервер 1С поймал шифровальщик
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Помогите расшифровать файлы с расширением .lokbt и i6ExcKHMZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Шифровальщик BOBCAT
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Шифровальщик файлов и выкуп
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
    • Alex_88
      Шифровальщик keepsecrets@tutanota.de
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, логи FRST сделать уже не возможности...
      ИП.cfe.rar dRip8TLmq.README.txt
×
×
  • Создать...