Leo_Pahomov Опубликовано 21 февраля Поделиться Опубликовано 21 февраля Все файлы зашифрованы типом файла YAKRDXSNS DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z Сообщение от модератора thyrex Темы объединены Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 21 февраля Поделиться Опубликовано 21 февраля Добавьте лог сканирования Курейтом, лучше в архиве без пароля. Добавьте несколько зашифрованных файлов+ записку о выкупке+ логи FRST «Порядок оформления запроса о помощи». Ссылка на комментарий Поделиться на другие сайты Поделиться
Leo_Pahomov Опубликовано 22 февраля Автор Поделиться Опубликовано 22 февраля Пытаюсь расшифровать файлы, оставили комп включенным на выходных, после произошло шифрование, как и что не понятно. Прогонял cureit, нашел много вирусов, но к сожалению не сохранил данные о проверке, не думал что пригодятся, так как впервые столкнулся с подобным. Все остальное подготовил) 123.zip Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 22 февраля Поделиться Опубликовано 22 февраля В этих файлах что у вас? Цитата 2024-09-16 14:23 - 2024-09-16 14:23 - 000000000 ____H () C:\Users\user4\AppData\Roaming\338d8dd8.txt 2024-11-23 19:16 - 2024-11-23 19:16 - 000000000 ____H () C:\Users\user4\AppData\Roaming\5244r2e2e223.txt 2024-12-20 02:36 - 2024-12-20 02:36 - 000000000 ____H () C:\Users\user4\AppData\Roaming\556856886565862.txt 2024-10-15 09:06 - 2024-10-15 09:06 - 000000000 ____H () C:\Users\user4\AppData\Roaming\88s8gfhsx.txt 2025-02-13 05:31 - 2025-02-13 05:31 - 000000000 ____H () C:\Users\user4\AppData\Roaming\hf8g78d9d97g639.txt 2024-11-25 11:42 - 2024-11-25 11:42 - 000000000 ____H () C:\Users\user4\AppData\Roaming\lllll97786.txt 2024-10-10 10:55 - 2024-10-10 10:55 - 000000000 ____H () C:\Users\user4\AppData\Roaming\lp886rerw.txt 2024-11-29 13:13 - 2024-11-29 13:13 - 000000000 ____H () C:\Users\user4\AppData\Roaming\rrrr4t4.txt 2024-11-12 01:53 - 2024-11-12 01:53 - 000000000 ____H () C:\Users\user4\AppData\Roaming\Tbaby.txt 2024-09-16 14:23 - 2024-09-16 14:23 - 000000000 ____H () C:\Users\user4\AppData\Roaming\windrx.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 22 февраля Поделиться Опубликовано 22 февраля По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. ;uVS v4.99.9v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\USER4\WINSVCS\WINCXSRVN.EXE delall %SystemDrive%\USERS\USER4\WINMNGR\WINMNGRSA.EXE delall %SystemDrive%\USERS\USER4\WINDRV\WINRDRVMS.EXE delall %SystemDrive%\USERS\USER4\WINDOWS SERVICES\WINSVCMS.EXE delall %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.3.3.234\SERVICE_UPDATE.EXE delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKECABALOGHLEAICFHEFEJDIJBLLJPCO%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPBFP23.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPSUMMERP24.EXE delall %SystemDrive%\PROGRAM FILES\ITOP SCREEN RECORDER\PUB\ITOPVSALEP25.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPXMSP23.EXE delall %SystemDrive%\USERS\USER4\MICROSOFT WINDOWS SECURITY\WINUPSECVMGR.EXE apply deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00}\[CLSID] delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.85\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\111.0.1661.62\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.78\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.78\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Ссылка на комментарий Поделиться на другие сайты Поделиться
Leo_Pahomov Опубликовано 22 февраля Автор Поделиться Опубликовано 22 февраля куда добавить файл? 2025-02-22_17-11-01_log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 22 февраля Поделиться Опубликовано 22 февраля (изменено) сюда же, через вложение, как и предыдущие файлы Изменено 22 февраля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Leo_Pahomov Опубликовано 22 февраля Автор Поделиться Опубликовано 22 февраля 4 минуты назад, safety сказал: ок, теперь попробуйте его найти, и подумайте, что сделали не так. 2025-02-22_17-11-01_log.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 22 февраля Поделиться Опубликовано 22 февраля (изменено) да, нашел уже лог. На Cyberforum ваша тема? остались неясности после ответов там? Изменено 22 февраля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Leo_Pahomov Опубликовано 22 февраля Автор Поделиться Опубликовано 22 февраля нет, я там ничего не писал, только сюда пока что 4 минуты назад, safety сказал: На Cyberforum ваша тема? остались неясности после ответов там? расшифровки нет? Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 22 февраля Поделиться Опубликовано 22 февраля (изменено) Но расширение файлов одно и тоже. А это большая редкость. Цитата там ничего не писал, только сюда пока что Долго вы собирались, уже 4 дня прошло после шифрования. Судя по логам FRST шифрование было только в одной папке. C:\Users\user4\AppData\Roaming\YAkRDXSns.README.txt это значит, что данная папка предоставлена всем в общий доступ. Сам процесс шифрования был запущен на другом устройстве. Значит пострадали еще и другие устройства. ---------- Расшифровки нет по данному типу шифровальщика. Без приватного ключа расшифровать файлы после LockbitV3Black невозможно. Изменено 22 февраля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Leo_Pahomov Опубликовано 22 февраля Автор Поделиться Опубликовано 22 февраля (изменено) проблема только на данном пк, больше недели уже прошло, больше не от кого жалоб не поступало Изменено 22 февраля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 22 февраля Поделиться Опубликовано 22 февраля (изменено) посмотрел логи FRST на CF: там так же зашифрована только папка пользователя. Значит надо искать на каком из устройств был запуск шифровальщика. (там будет все папки зашифрованы). 2025-02-18 10:28 - 2025-02-18 10:28 - 000000326 _____ C:\Users\A0905\Downloads\YAkRDXSns.README.txt 2025-02-18 10:28 - 2025-02-18 10:28 - 000000326 _____ C:\Users\A0905\Desktop\YAkRDXSns.README.txt -------------- @Leo_Pahomov. не надо здесь устраивать дискуссию на ровном месте. Вам на Киберфоруме объяснили, и здесь я повторяю, ищите источник заражения в локальной сети. Это ваша работа. Все ПК проверить. Сэмпл шифровальщика возможно уже самоудалился. Важные зашифрованные данные можно сохранить на отдельный носитель, вдруг, когда-нибудь, может быть, что то произойдет. теперь, когда ваши файлыбыли зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Изменено 22 февраля пользователем safety 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения