Перейти к содержанию

Рекомендуемые сообщения

Добавьте лог сканирования Курейтом, лучше в архиве без пароля.

Добавьте несколько зашифрованных файлов+ записку о выкупке+ логи FRST

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты

Пытаюсь расшифровать файлы, оставили комп включенным на выходных, после произошло шифрование, как и что не понятно. Прогонял cureit, нашел много вирусов, но к сожалению не сохранил данные о проверке, не думал что пригодятся, так как впервые столкнулся с подобным. Все остальное подготовил) 

123.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема

В этих файлах что у вас?

 

Цитата

2024-09-16 14:23 - 2024-09-16 14:23 - 000000000 ____H () C:\Users\user4\AppData\Roaming\338d8dd8.txt
2024-11-23 19:16 - 2024-11-23 19:16 - 000000000 ____H () C:\Users\user4\AppData\Roaming\5244r2e2e223.txt
2024-12-20 02:36 - 2024-12-20 02:36 - 000000000 ____H () C:\Users\user4\AppData\Roaming\556856886565862.txt
2024-10-15 09:06 - 2024-10-15 09:06 - 000000000 ____H () C:\Users\user4\AppData\Roaming\88s8gfhsx.txt
2025-02-13 05:31 - 2025-02-13 05:31 - 000000000 ____H () C:\Users\user4\AppData\Roaming\hf8g78d9d97g639.txt
2024-11-25 11:42 - 2024-11-25 11:42 - 000000000 ____H () C:\Users\user4\AppData\Roaming\lllll97786.txt
2024-10-10 10:55 - 2024-10-10 10:55 - 000000000 ____H () C:\Users\user4\AppData\Roaming\lp886rerw.txt
2024-11-29 13:13 - 2024-11-29 13:13 - 000000000 ____H () C:\Users\user4\AppData\Roaming\rrrr4t4.txt
2024-11-12 01:53 - 2024-11-12 01:53 - 000000000 ____H () C:\Users\user4\AppData\Roaming\Tbaby.txt
2024-09-16 14:23 - 2024-09-16 14:23 - 000000000 ____H () C:\Users\user4\AppData\Roaming\windrx.txt

 

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.9v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER4\WINSVCS\WINCXSRVN.EXE
delall %SystemDrive%\USERS\USER4\WINMNGR\WINMNGRSA.EXE
delall %SystemDrive%\USERS\USER4\WINDRV\WINRDRVMS.EXE
delall %SystemDrive%\USERS\USER4\WINDOWS SERVICES\WINSVCMS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.3.3.234\SERVICE_UPDATE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKECABALOGHLEAICFHEFEJDIJBLLJPCO%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPBFP23.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPSUMMERP24.EXE
delall %SystemDrive%\PROGRAM FILES\ITOP SCREEN RECORDER\PUB\ITOPVSALEP25.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPXMSP23.EXE
delall %SystemDrive%\USERS\USER4\MICROSOFT WINDOWS SECURITY\WINUPSECVMGR.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.100\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.85\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER4\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\111.0.1661.62\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.78\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.78\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты

нет, я там ничего не писал, только сюда пока что 

 

4 минуты назад, safety сказал:

На Cyberforum ваша тема? остались неясности после ответов там?

расшифровки нет? 

Ссылка на комментарий
Поделиться на другие сайты

Но расширение файлов одно и тоже.

А это большая редкость.

Цитата

там ничего не писал, только сюда пока что

Долго вы собирались, уже 4 дня прошло после шифрования.

 

Судя по логам FRST шифрование было только в одной папке.

C:\Users\user4\AppData\Roaming\YAkRDXSns.README.txt

это значит, что данная папка предоставлена всем в общий доступ. Сам процесс шифрования был запущен на другом устройстве. Значит пострадали еще и другие устройства.

----------

Расшифровки нет по данному типу шифровальщика. Без приватного ключа расшифровать файлы после LockbitV3Black невозможно.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

проблема только на данном пк, больше недели уже прошло, больше не от кого жалоб не поступало

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

посмотрел логи FRST на CF:

там так же зашифрована только папка пользователя. Значит надо искать на каком из устройств был запуск шифровальщика.

(там будет все папки зашифрованы).

2025-02-18 10:28 - 2025-02-18 10:28 - 000000326 _____ C:\Users\A0905\Downloads\YAkRDXSns.README.txt
2025-02-18 10:28 - 2025-02-18 10:28 - 000000326 _____ C:\Users\A0905\Desktop\YAkRDXSns.README.txt

--------------

@Leo_Pahomov.

не надо здесь устраивать дискуссию на ровном месте.

Вам на Киберфоруме объяснили, и здесь я повторяю, ищите источник заражения в локальной сети. Это ваша работа. Все ПК проверить. Сэмпл шифровальщика возможно уже самоудалился.

 

Важные зашифрованные данные можно сохранить на отдельный носитель, вдруг, когда-нибудь, может быть, что то произойдет.

 

теперь, когда ваши файлыбыли зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...