Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый вечер. Если не правильно оформил тему , сорян(я не так часто прошу о помощи). 
26 февраля знакомая ,как обычно включила комп с файловой 1С и вносила данные  в базу.
Днем ранее (25.02 ) программисты по 1С помогали с обновлением базы и 26 должны были 
продолжить помогать.  Но, 26.02 после подключения программистов 1С (программисты 
позвонили и сказали чтобы выключили комп, очень быстро. Якобы вирус. И сказали зовите 
системного администратора. Знакомая позвонила мне, т.к я помогал ей с компом(офис
 установить, инет настроить ну и т.д.)). Сразу комп выключил, скачал с инета 
последние образы флэшек Касперского и Dr.Web. Во вложении файлы: Письмо с требованием, 
Patch (зашифрованный) и Patch (не зашифрованный, но антивирус на него ругается изначально )) ).

Опубликовано

Читать вы, видимо, не любите, только писать.

 

Цитата

 

4.  Что необходимо сделать:

  • Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.
  • Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.
  • Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти (он может понадобится для отправки в техподдержку компании).

 

  •  
Опубликовано

Логи сканирования Cureit, KVRT добавьте, пожалуйста, в архиве, без пароля. Если архивы будут большими, тогда загрузите на облачный диск и дайте ссылку на скачивание здесь.

Опубликовано

Reports.rar

 

KVRT папка Quarantine удалено

Если я не ошибаюсь, в папке Quarantine сам троян

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

Опубликовано
27 минут назад, AJIEKCAHDP сказал:

Reports.rar 2.08 kB · 0 загрузок

 

KVRT папка Quarantine удалено

Если я не ошибаюсь, в папке Quarantine сам троян

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

Извините, правила не внимательно читал.

Опубликовано (изменено)

Будьте внимательны,

полные логи (с карантином) KVRT не нужны, только папка с очетами.

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
2025-02-26 12:24 - 2025-02-26 12:24 - 000000000 ____D C:\Users\Print\AppData\Roaming\Process Hacker 2
2025-02-26 11:31 - 2025-02-26 11:31 - 000000000 ____D C:\temp
2025-02-26 23:08 - 2024-02-28 10:12 - 000000000 __SHD C:\Users\Print\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Опубликовано
04.03.2025 в 00:56, AJIEKCAHDP сказал:

Если я не ошибаюсь, в папке Quarantine сам троян

да, судя по отчету KVRT  система была очищена от тел шифровальщика.

 

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • valkovaleksandr
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • VNDR
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Rowman
      Автор Rowman
      Здравствуйте!
      Файлы на сервере были зашифрованы zeppelin-ом. Система зависла в процессе, поэтому работу вирус не завершил. Сервер после этого не загружал, подключил HDD к другому компьютеру, и вытащил ключи из реестра вместе файлом вируса. Как я понимаю, бесплатное решение на данный момент отсутствует. Коммерческой лицензии Касперского нет. Имеет ли смысл её приобретать для обращения в техподдержку (помогут ли)?
      20.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • itz
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
×
×
  • Создать...