sauron Помогите с шифровальщиком, может кто сталкивался

[NikiGromel]

Сообщение от взломщика:
YOUR FILES HAVE BEEN ENCRYPTED <<<
Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.

Your Decryption ID: 365B91AF

Contact:
- Email: opnkey@gmail.com
- Telegram: @pcrisk

Warning:  
- Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
- Don't Waste Time. The Price Will Rise If You Delay!

Free Decryption:
- Send 3 Small Files (Max 1MB) For Free Decryption.

 

Прикрепляю два зашифрованных файла

Desktop.rar

[safety]

Согласно правил:

 

Цитата

 

Что необходимо сделать:

• Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом.
• Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

 

•  

[NikiGromel]

Добрый день, система не переустанавливалась,  заражено несколько компьютеров и NAS. к сожалению, резервное копирование в хранилище было осуществлено сразу после шифрования файлов. 

arch.rar Addition.txt FRST.txt

Изменено 3 марта пользователем NikiGromel

[safety]

Логи FRST нужны из под Администратора.

Запущено с помощью a.yaroshenko (ВНИМАНИЕ: Пользователь не является Администратором) на NATINA (Gigabyte Technology Co., Ltd. H61M-USB3-B3) (03-03-2025 13:54:34)

 

[NikiGromel]

Сорри

Addition.txt FRST.txt

[safety]

Если систему сканировали KVRT или Cureit, добавьте, пожалуйста, логи сканирования, в архиве без пароля.

[NikiGromel]

Отчет по полному сканирование смогу только завтра предоставить, но сейчас на этапе сканирования уже что то нашлось:

[safety]

Детект Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации.

Т.е. детект не связан с работой шифровальщика.

 

Ждем полный отчет.

Изменено 4 марта пользователем safety

[NikiGromel]

Спасибо, направляю отчет

report_2025.03.04_10.34.18.klr.rar

[safety]

Спасибо, файла шифровальщика здесь нет.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[NikiGromel]

Жаль, но спасибо за помощь!