Перейти к содержанию

Шифровальщик зашифровал файлы расширение .6iENBa2rG

Александр Щепочкин

Автор Александр Щепочкин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Щепочкин Новичок

Александр Щепочкин

Опубликовано
Опубликовано

Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом

6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar

 

Сообщение от модератора kmscom

Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG

Ссылка на комментарий
Поделиться на другие сайты
Александр Щепочкин Новичок

Александр Щепочкин

Опубликовано
  • Автор
Опубликовано

Добрый день, зашифровали данные ,никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы ворд или экселя. Кидаю пример файла и текст с выкупом

Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar 6iENBa2rG.README.txt

Ссылка на комментарий
Поделиться на другие сайты
Александр Щепочкин Новичок

Александр Щепочкин

Опубликовано
  • Автор
Опубликовано
8 часов назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

 

Addition.txt FRST.txt

 

025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Downloads\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Documents\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\Desktop\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\Roaming\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\LocalLow\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\Local\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\AppData\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000002225 _____ C:\Users\NP\6iENBa2rG.README.txt
2025-02-28 08:36 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\AppData\Roaming\Microsoft\MMC
2025-02-28 08:36 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\AppData\LocalLow\Temp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64

8 часов назад, safety сказал:

Добавьте так же логи FRST из зашифрованной системы.

Это может быть то что все зашифровало?image.thumb.png.98e1e736f95651d653ca7c107cbb3685.png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Посмотрим.

Добавьте так же отчеты RVRT в архиве без пароля.

2025-03-03 09:19 - 2025-03-03 09:19 - 113603432 _____ (AO Kaspersky Lab) C:\Users\1c\Downloads\KVRT.exe
2025-03-03 09:19 - 2025-03-03 09:19 - 000000000 ____D C:\KVRT2020_Data

 

Ссылка на комментарий
Поделиться на другие сайты
Александр Щепочкин Новичок

Александр Щепочкин

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

Посмотрим.

Добавьте так же отчеты RVRT в архиве без пароля.

2025-03-03 09:19 - 2025-03-03 09:19 - 113603432 _____ (AO Kaspersky Lab) C:\Users\1c\Downloads\KVRT.exe
2025-03-03 09:19 - 2025-03-03 09:19 - 000000000 ____D C:\KVRT2020_Data

 

 

KVRT2020_Data.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Ничего не нашлось в KVRT

 

Выполните скрипт в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64
2025-02-28 08:35 - 2022-03-08 09:10 - 000000285 _____ C:\Users\NP\Documents\1c.cmd
2025-02-28 08:35 - 2020-11-13 13:30 - 000003611 _____ C:\Users\NP\Documents\closeapps.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000273 _____ C:\Users\NP\Documents\backup.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000063 _____ C:\Users\NP\Documents\LogDelete.bat
2025-02-28 08:35 - 2018-06-09 11:01 - 000000028 _____ C:\Users\NP\Documents\Shadow.bat
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
Александр Щепочкин Новичок

Александр Щепочкин

Опубликовано
  • Автор
Опубликовано
13 минут назад, safety сказал:

Ничего не нашлось в KVRT

 

Выполните скрипт в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-02-28 08:36 - 2025-02-28 08:36 - 013621539 _____ C:\Users\NP\Documents\AD_Port
2025-02-28 08:36 - 2025-02-28 08:36 - 002654262 _____ C:\ProgramData\6iENBa2rG.bmp
2025-02-28 08:35 - 2025-02-28 08:36 - 000000000 ____D C:\Users\NP\Documents\Everything-1.4.1.1024.x64
2025-02-28 08:35 - 2022-03-08 09:10 - 000000285 _____ C:\Users\NP\Documents\1c.cmd
2025-02-28 08:35 - 2020-11-13 13:30 - 000003611 _____ C:\Users\NP\Documents\closeapps.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000273 _____ C:\Users\NP\Documents\backup.bat
2025-02-28 08:35 - 2019-02-14 18:00 - 000000063 _____ C:\Users\NP\Documents\LogDelete.bat
2025-02-28 08:35 - 2018-06-09 11:01 - 000000028 _____ C:\Users\NP\Documents\Shadow.bat
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://disk.yandex.ru/d/0cl6NO_M0bfH5w

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      Автор Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...