Перейти к содержанию

Зашифровали файлы (ELENOR), нужна помощь, логи FRST собрал.

Ilya45
 Поделиться

Рекомендуемые сообщения

Ilya45

Ilya45

Опубликовано
Опубликовано (изменено)

Доброго времени суток.

Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.

log.zip - логи под пользователем где все зашифровано,

log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.

files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.

log.zip files.zip log2.zip

Изменено пользователем Ilya45
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ELPTS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\АДМ\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-03-12 22:46 - 2025-03-13 09:04 - 000000000 ____D C:\temp
2025-03-12 22:43 - 2025-03-12 22:43 - 000000000 ____D C:\Users\ELPTS\AppData\Roaming\Process Hacker 2
2025-03-12 22:43 - 2025-03-12 22:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-03-12 22:43 - 2025-03-12 22:43 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-03-12 22:15 - 2025-03-12 22:16 - 000000000 ____D C:\Users\ELPTS\Desktop\netSCAN
2025-03-13 09:11 - 2023-10-03 04:02 - 000000000 __SHD C:\Users\ELPTS\AppData\Local\1D5A0B4F-8165-0A1A-15FD-D346D3F6CAF0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ilya45

Ilya45

Опубликовано
  • Автор
Опубликовано (изменено)

сделал

 

 

Fixlog.txt

Изменено пользователем safety
файл загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

Злоумышленники встраивают приватный ключ в дешифратор, предоставляет его только за выкуп.

Условия выкупа здесь не обсуждаем.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ELF_11
      Зашифровали базы 1с (файловые)
      Автор ELF_11
      Зашифровали базы 1с. Прошу помощи.
      Addition.txt FRST.txt Новая папка.rar
    • Oleg_krsk
      Зашифрованы данные UVE! Помогите расшифровать!!!
      Автор Oleg_krsk
      Здравия! Зашифрованы данные:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw*uve-BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
       
      Помогите расшифровать!
    • SEDEK
      Шифровальщик
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
    • SPQR35
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор SPQR35
      Зашифрованы документы на ПК. forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt Файлы.rar
×
×
  • Создать...