Перейти к содержанию

Рекомендуемые сообщения

Александр Щепочкин
Опубликовано

Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом

6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar

 

Сообщение от модератора kmscom
Александр Щепочкин
Опубликовано

Добрый день, зашифровали данные ,никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы ворд или экселя. Кидаю пример файла и текст с выкупом

Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar 6iENBa2rG.README.txt

Александр Щепочкин
Опубликовано
8 часов назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

 

Addition.txt FRST.txt

 

025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Downloads\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Documents\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Desktop\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\Roaming\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\LocalLow\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\Local\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\AppData\Roaming\Microsoft\MMC
2025-02-28 08:36 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\AppData\LocalLow\Temp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64

8 часов назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

Это может быть то что все зашифровало?image.thumb.png.98e1e736f95651d653ca7c107cbb3685.png

Опубликовано

Посмотрим.

Добавьте так же отчеты RVRT в архиве без пароля.

2025-03-03 09:19 - 2025-03-03 09:19 - 113603432 _____ (AO Kaspersky Lab) C:\Users\1c\Downloads\KVRT.exe
2025-03-03 09:19 - 2025-03-03 09:19 - 000000000 ____D C:\KVRT2020_Data

 

Александр Щепочкин
Опубликовано
8 минут назад, safety сказал:

Посмотрим.

Добавьте так же отчеты RVRT в архиве без пароля.

2025-03-03 09:19 - 2025-03-03 09:19 - 113603432 _____ (AO Kaspersky Lab) C:\Users\1c\Downloads\KVRT.exe
2025-03-03 09:19 - 2025-03-03 09:19 - 000000000 ____D C:\KVRT2020_Data

 

 

KVRT2020_Data.rar

Опубликовано

Ничего не нашлось в KVRT

 

Выполните скрипт в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64
2025-02-28 08:35 - 2022-03-08 09:10 - 000000285 _____ C:\Users\NP\Documents\1c.cmd
2025-02-28 08:35 - 2020-11-13 13:30 - 000003611 _____ C:\Users\NP\Documents\closeapps.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000273 _____ C:\Users\NP\Documents\backup.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000063 _____ C:\Users\NP\Documents\LogDelete.bat
2025-02-28 08:35 - 2018-06-09 11:01 - 000000028 _____ C:\Users\NP\Documents\Shadow.bat
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Александр Щепочкин
Опубликовано
13 минут назад, safety сказал:

Ничего не нашлось в KVRT

 

Выполните скрипт в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64
2025-02-28 08:35 - 2022-03-08 09:10 - 000000285 _____ C:\Users\NP\Documents\1c.cmd
2025-02-28 08:35 - 2020-11-13 13:30 - 000003611 _____ C:\Users\NP\Documents\closeapps.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000273 _____ C:\Users\NP\Documents\backup.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000063 _____ C:\Users\NP\Documents\LogDelete.bat
2025-02-28 08:35 - 2018-06-09 11:01 - 000000028 _____ C:\Users\NP\Documents\Shadow.bat
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://disk.yandex.ru/d/0cl6NO_M0bfH5w

Fixlog.txt

Опубликовано

Шифровальщик может и был в этой папке, но сейчас его нет.

 

Проверьте ЛС.

Опубликовано

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...