chaos Azot

[sysano]

Добрый день, уважаемые коллеги. Столкнулся с проблемой, ответа на который не нашёл на форуме, но подобные темы уже создавались. Шифровальщик Azot зашифровал базу данных 1С, а резервное копирование, к сожалению, никто не делал. Антивирус обнаружил вредоносное ПО, и успешно удалил, но это не помогло. Высылаю данные.

Не могу отправить файлы с расширением azot, но отправил PDF файл (убрал из него это расширение что бы отправилось). Я на связи.

read.txt

 

 

Изменено 21 февраля пользователем safety
Забыл фото приложить

[safety]

Добавьте несколько зашифрованных файлов в архиве (без пароля) + логи FRST.

Если файл шифровальщика сохранился в карантине, добавьте файл из карантина в архиве с паролем virus

Изменено 21 февраля пользователем safety

[sysano]

Логи будут чуть позже. Обязательно их отправлю

Зашифрованные файлы.rar

[safety]

Только шифрование файлов было, или еще перемещение  файлов в архивы?

[sysano]

В архивы тоже переместили. Высылаю вам логи. Архивы будут чуть позже. Они весят по 1,5 ГБ

FRST.txt Addition.txt

Изменено 21 февраля пользователем sysano

[safety]

Архивы пока не нужны

В этих файлах что?

2025-02-21 02:47 - 2025-02-21 02:48 - 000000100 _____ C:\Users\Admin_Main\Documents\Пароль.txt

2025-02-21 08:20 - 2025-02-21 08:20 - 000000026 _____ C:\Users\Admin_Main\Downloads\123.txt

Цитата

Антивирус обнаружил вредоносное ПО, и успешно удалил, но это не помогло

Из карантина можете файл достать с детектом шифровальщика?

[sysano]

В файле 123.txt написано: Starting...    Finished!

В файле Пароль.txt написано: Пароль от архивов с базами данный получите после оплаты

(Я не опечатался, это цитата)

[safety]

Сканировали и удаляли файл шифровальщика чем?

этим?

2025-02-21 08:08 - 2025-02-21 08:09 - 008415088 _____ (ESET) C:\Users\Admin_Main\Downloads\esetonlinescanner.exe

или этом? Что это?
2025-02-21 08:07 - 2025-02-21 08:10 - 297681560 _____ C:\Users\Admin_Main\Downloads\kshmo1da.exe

лог сканирования можно показать?

 

Изменено 21 февраля пользователем safety

[sysano]

Сканирование было произведено изначально обычным Windows Defender, и он же его и удалил. Файл я восстановил, но вопрос куда... Сейчас ищу восстановленный файл. Он не писал откуда его именно удалял.

Насчёт второго файла - это Doctor Web, но логов в нём нет.

[safety]

Возможно сюда же и восстановил:

Цитата

Date: 2025-02-21 02:41:01

Имя: Ransom:MSIL/FileCoder.MX!MTB
ИД: 2147921690
Серьезность: Критический
Категория: Программа-шантажист
Путь: file:_C:\$Recycle.Bin\S-1-5-21-3842607153-2767087855-1975311492-1009\$R9T1MS5.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в реальном времени:

Проверьте есть он в корзине или нет.

Изменено 21 февраля пользователем safety

[sysano]

Пусто в ней, а защитник молчит после восстановления.

[safety]

Жаль, тело шифровальщика бывает необходимо, если станет вопрос по возможности расшифровать файлы или нет.

+

проверьте ЛС.

Изменено 21 февраля пользователем safety

[sysano]

Я производил поиск по имени файла после восстановления, и его нету на компьютере. Есть идеи как его найти?

[safety]

Посмотрите, по описанию дефендера, куда он восстанавливает фвйлы из карантина

[safety]

Проверьте в журнале защиты осталась информация по записи  с криптером?

https://remontka.pro/microsoft-defender-quarantine/