Перейти к содержанию

Нужна помощь, Шифровальщик cyberfear

AJIEKCAHDP
 Поделиться

Рекомендуемые сообщения

AJIEKCAHDP

AJIEKCAHDP

Опубликовано
  • Автор
Опубликовано

Добрый вечер. Если не правильно оформил тему , сорян(я не так часто прошу о помощи). 
26 февраля знакомая ,как обычно включила комп с файловой 1С и вносила данные  в базу.
Днем ранее (25.02 ) программисты по 1С помогали с обновлением базы и 26 должны были 
продолжить помогать.  Но, 26.02 после подключения программистов 1С (программисты 
позвонили и сказали чтобы выключили комп, очень быстро. Якобы вирус. И сказали зовите 
системного администратора. Знакомая позвонила мне, т.к я помогал ей с компом(офис
 установить, инет настроить ну и т.д.)). Сразу комп выключил, скачал с инета 
последние образы флэшек Касперского и Dr.Web. Во вложении файлы: Письмо с требованием, 
Patch (зашифрованный) и Patch (не зашифрованный, но антивирус на него ругается изначально )) ).

safety

safety

Опубликовано
Опубликовано

Читать вы, видимо, не любите, только писать.

 

Цитата

 

4.  Что необходимо сделать:

  • Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.
  • Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.
  • Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти (он может понадобится для отправки в техподдержку компании).

 

  •  
safety

safety

Опубликовано
Опубликовано

Логи сканирования Cureit, KVRT добавьте, пожалуйста, в архиве, без пароля. Если архивы будут большими, тогда загрузите на облачный диск и дайте ссылку на скачивание здесь.

AJIEKCAHDP

AJIEKCAHDP

Опубликовано
  • Автор
Опубликовано

Reports.rar

 

KVRT папка Quarantine удалено

Если я не ошибаюсь, в папке Quarantine сам троян

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

AJIEKCAHDP

AJIEKCAHDP

Опубликовано
  • Автор
Опубликовано
27 минут назад, AJIEKCAHDP сказал:

Reports.rar 2.08 kB · 0 загрузок

 

KVRT папка Quarantine удалено

Если я не ошибаюсь, в папке Quarantine сам троян

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные файлы, а также ссылки на них.

Извините, правила не внимательно читал.

safety

safety

Опубликовано
Опубликовано (изменено)

Будьте внимательны,

полные логи (с карантином) KVRT не нужны, только папка с очетами.

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
2025-02-26 12:24 - 2025-02-26 12:24 - 000000000 ____D C:\Users\Print\AppData\Roaming\Process Hacker 2
2025-02-26 11:31 - 2025-02-26 11:31 - 000000000 ____D C:\temp
2025-02-26 23:08 - 2024-02-28 10:12 - 000000000 __SHD C:\Users\Print\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
04.03.2025 в 00:56, AJIEKCAHDP сказал:

Если я не ошибаюсь, в папке Quarantine сам троян

да, судя по отчету KVRT  система была очищена от тел шифровальщика.

 

Без приватного ключа, которого у нас нет, расшифровка файлов невозможна по данному типу шифровальщика.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SEDEK
      Шифровальщик
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
    • SPQR35
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор SPQR35
      Зашифрованы документы на ПК. forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt Файлы.rar
    • Gulzat
      Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • VictorM630103
      Помощь в расшифровке после действия шифровальщика
      Автор VictorM630103
      HEUR:Trojan-Ransom.Win32.Generic зашифровал файлы в системе. Добавленное расширение .gh8ta. Заражение произошло после открытия вложенного файла в электронном письме.
      Прилагаю логи, сообщение о выкупе. Файл вируса имеется в архиве (не прикреплен). Есть расшифрованные вымогателем пробные файлы.
      FRST.txt Файлы и сообщение о выкупе.zip
    • stifler511
      Зашифровали файлы forumkasperskyclubru@msg.ws
      Автор stifler511
      Здравствуйте, зашифровали файлы forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt
      примеры
      Примеры файлов.rar
×
×
  • Создать...