Run Опубликовано 12 марта Поделиться Опубликовано 12 марта Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются. Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46 FRST.txtфайлы зашифрованные.zipKeylock.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 12 марта Поделиться Опубликовано 12 марта Этот файл заархивируйте с паролем virus, загрузите в ваше сообщение. 2025-02-25 04:25 - 2024-12-24 21:44 - 000994816 _____ C:\Users\Администратор\Desktop\chch.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Run Опубликовано 12 марта Автор Поделиться Опубликовано 12 марта chch.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 12 марта Поделиться Опубликовано 12 марта (изменено) Это #Enmity / #Mammon #Ransomware https://www.virustotal.com/gui/file/b12cecfc985aec8d13c07f564ca8b2cd31a0bbf5a2be55591a9933904b1edbb8/detection DrWeb Undetected Сэмпл достаточно старый: First Submission 2025-01-02 04:46:44 UTC Изменено 12 марта пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Run Опубликовано 12 марта Автор Поделиться Опубликовано 12 марта С таким шифровальщиком расшифровать никак не получится файлы на жестком? Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 12 марта Поделиться Опубликовано 12 марта (изменено) увы, по Enmity расшифровка невозможна без приватного ключа. Можем помочь только с очисткой системы и проанализировать почему произошло проникновение злоумышленников на устройство, хотя времени прошло уже достаточно с момента шифрования. Найденный сэмпл можно удалить с диска, он безопасен, в том смысле что не в автозапуске, но чтобы случайно никто его не запустил вновь. Сэмпл можно отправить в вирлаб Дрвеб, в архиве с паролем virus Изменено 12 марта пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Run Опубликовано 12 марта Автор Поделиться Опубликовано 12 марта Спасибо, вам за помощь Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 12 марта Поделиться Опубликовано 12 марта (изменено) Папку с Keylock обязательно сохраните,+ важные зашифрованные файлы, возможно в будущем расшифровка станет возможной. теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); Изменено 12 марта пользователем safety 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 12 марта Поделиться Опубликовано 12 марта 2 часа назад, Run сказал: Спасибо, вам за помощь Что еще хотел добавить: судя по строке в логах: HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ возможно система дополнительно была завирусована Neshta, поэтому имеет смысл проверить ее с помощью KVRT, или лучше с загрузочного диска если не планируете переустановку системы. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти