Перейти к содержанию

Помогите с шифровальщиком, может кто сталкивался


Рекомендуемые сообщения

Сообщение от взломщика:
YOUR FILES HAVE BEEN ENCRYPTED <<<
Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.

Your Decryption ID: 365B91AF

Contact:
- Email: opnkey@gmail.com
- Telegram: @pcrisk

Warning:  
- Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
- Don't Waste Time. The Price Will Rise If You Delay!

Free Decryption:
- Send 3 Small Files (Max 1MB) For Free Decryption.

 

Прикрепляю два зашифрованных файла

Desktop.rar

Ссылка на комментарий
Поделиться на другие сайты

Согласно правил:

 

Цитата

 

Что необходимо сделать:

  • Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.
  • Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

 

  •  
Ссылка на комментарий
Поделиться на другие сайты

Добрый день, система не переустанавливалась,  заражено несколько компьютеров и NAS. к сожалению, резервное копирование в хранилище было осуществлено сразу после шифрования файлов. 

arch.rar Addition.txt FRST.txt

Изменено пользователем NikiGromel
Ссылка на комментарий
Поделиться на другие сайты

Логи FRST нужны из под Администратора.

Запущено с помощью a.yaroshenko (ВНИМАНИЕ: Пользователь не является Администратором) на NATINA (Gigabyte Technology Co., Ltd. H61M-USB3-B3) (03-03-2025 13:54:34)

 

Ссылка на комментарий
Поделиться на другие сайты

Детект Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации.

Т.е. детект не связан с работой шифровальщика.

 

Ждем полный отчет.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Спасибо, файла шифровальщика здесь нет.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • darksimpson
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • HOUSEDause
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Jonnoton
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • Drozdovanton
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
×
×
  • Создать...