Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Нужна помощь, Шифровальщик cyberfear

AJIEKCAHDP
 Поделиться

Рекомендуемые сообщения

AJIEKCAHDP Новичок

AJIEKCAHDP

Опубликовано
  • Автор
Опубликовано

Добрый вечер. Если не правильно оформил тему , сорян(я не так часто прошу о помощи). 
26 февраля знакомая ,как обычно включила комп с файловой 1С и вносила данные  в базу.
Днем ранее (25.02 ) программисты по 1С помогали с обновлением базы и 26 должны были 
продолжить помогать.  Но, 26.02 после подключения программистов 1С (программисты 
позвонили и сказали чтобы выключили комп, очень быстро. Якобы вирус. И сказали зовите 
системного администратора. Знакомая позвонила мне, т.к я помогал ей с компом(офис
 установить, инет настроить ну и т.д.)). Сразу комп выключил, скачал с инета 
последние образы флэшек Касперского и Dr.Web. Во вложении файлы: Письмо с требованием, 
Patch (зашифрованный) и Patch (не зашифрованный, но антивирус на него ругается изначально )) ).

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Читать вы, видимо, не любите, только писать.

 

Цитата

 

4.  Что необходимо сделать:

  • Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.
  • Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.
  • Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти (он может понадобится для отправки в техподдержку компании).

 

  •  
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Логи сканирования Cureit, KVRT добавьте, пожалуйста, в архиве, без пароля. Если архивы будут большими, тогда загрузите на облачный диск и дайте ссылку на скачивание здесь.

Ссылка на комментарий
Поделиться на другие сайты
AJIEKCAHDP Новичок

AJIEKCAHDP

Опубликовано
  • Автор
Опубликовано

Reports.rar

 

KVRT папка Quarantine удалено

Если я не ошибаюсь, в папке Quarantine сам троян

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

Ссылка на комментарий
Поделиться на другие сайты
AJIEKCAHDP Новичок

AJIEKCAHDP

Опубликовано
  • Автор
Опубликовано
27 минут назад, AJIEKCAHDP сказал:

Reports.rar 2.08 kB · 0 загрузок

 

KVRT папка Quarantine удалено

Если я не ошибаюсь, в папке Quarantine сам троян

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

Извините, правила не внимательно читал.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Будьте внимательны,

полные логи (с карантином) KVRT не нужны, только папка с очетами.

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
2025-02-26 12:24 - 2025-02-26 12:24 - 000000000 ____D C:\Users\Print\AppData\Roaming\Process Hacker 2
2025-02-26 11:31 - 2025-02-26 11:31 - 000000000 ____D C:\temp
2025-02-26 23:08 - 2024-02-28 10:12 - 000000000 __SHD C:\Users\Print\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
04.03.2025 в 00:56, AJIEKCAHDP сказал:

Если я не ошибаюсь, в папке Quarantine сам троян

да, судя по отчету KVRT  система была очищена от тел шифровальщика.

 

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • WhySpice
      Шифровальщик cyberfear
      Автор WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • Ilya45
      Зашифровали файлы (ELENOR), нужна помощь, логи FRST собрал.
      Автор Ilya45
      Доброго времени суток.
      Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.
      log.zip - логи под пользователем где все зашифровано,
      log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.
      files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.
      log.zip files.zip log2.zip
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      Автор Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Alexk6
      Нужна помощь. *.datastore@cyberfear.com
      Автор Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
×
×
  • Создать...