Перейти к содержанию

Расшифровка kwx8

slavel94
 Поделиться

Рекомендуемые сообщения

slavel94 Новичок

slavel94

Опубликовано
Опубликовано

Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста

report_2025.03.23_17.06.42.klr.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте все необходимые файлы: несколько зашифрованных файлов + записка о выкупе + логи FRST

согласно правилам.

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Этот файл известен вам?

C:\ProgramData\Synaptics\Synaptics.exe

Проверьте на Virustotal.com, дайте ссылку на результат проверки.

Судя по логу FRST папка с этим файлом создана на момент шифрования.

2025-03-21 20:37 - 2025-03-21 20:39 - 000000000 __SHD C:\ProgramData\Synaptics
 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Сюда https://virustotal.com

его (C:\ProgramData\Synaptics\Synaptics.exe) загрузите, 

и дайте ссылку на результат проверки.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По чистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM-x32\...\Run: [Synaptics Pointing Device Driver] => C:\ProgramData\Synaptics\Synaptics.exe [771584 2025-03-21] (Synaptics) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-03-21 23:08 - 2025-03-21 23:08 - 006052662 _____ C:\ProgramData\98A34FD132C98CCA640001A9C003381E.bmp
2025-03-21 20:37 - 2025-03-21 20:39 - 000000000 __SHD C:\ProgramData\Synaptics
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
slavel94 Новичок

slavel94

Опубликовано
  • Автор
Опубликовано (изменено)

https://www.virustotal.com/gui/file/23ef93582070fff6d8455cc05d894e8c5641cc8d140e9cc74effda5fdbc48e5d ссылка

Fixlog во вложении

Ссылка на карантин удалена уже

Fixlog.txt

Изменено пользователем safety
файл загружен и ссылка удалена
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Эти файлы пробуйте так же восстановить из карантина, добавить в архив с паролем virus, и загрузить на облачный диск, здесь дать ссылку, или в ЛС.

            <Event44 Action="Select action" Time="133871931135535218" Object="C:\Users\Администратор\Desktop\New folder\bin-1.3.1\Win32-Release\Stub.exe" Info="Skip" />

должен быть рядом и другой:

            <Event44 Action="Select action" Time="133871931135535218" Object="C:\Users\Администратор\Desktop\New folder\bin-1.3.1\Win64-Release\Stub.exe" Info="Skip" />

 

+

 

Проверьте ЛС,

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

или просто эту папку заархивируйте с паролем virus

2025-03-21 20:33 - 2025-03-21 20:39 - 000000000 ____D C:\Users\Администратор\Desktop\New folder

архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

Интересный детект:

            <Event38 Action="Detect" Time="133871911262818894" Object="C:\Users\Администратор\Downloads\RakhniDecryptor\RakhniDecryptor.exe" Info="Backdoor.Win32.DarkKomet.hqxy" />

+

эту папку заархивируйте без пароля

2025-03-23 15:32 - 2025-03-23 15:32 - 000000000 ____D C:\Users\Администратор\Downloads\RakhniDecryptor

возможно что ложный детект по файлу, если вы скачали его с официального сайта.

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
slavel94 Новичок

slavel94

Опубликовано
  • Автор
Опубликовано (изменено)

Rakhni я скачивал
Архив с паролем virus/ "ссылка удалена".

Изменено пользователем safety
файлы загружены, ссылка удалена
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

NS.exe троян, и именно он ставил Synaptics

https://www.virustotal.com/gui/file/7eca6ee31cf005da22892ed6839c4299c43b3959c06ab7c7753153aad4c4cffd/behavior

image.png

Stub.exe похоже с тем же функционалом, не видно следов шифрования.

https://www.virustotal.com/gui/file/248cb0c4b839baa5f7340ac87a99ed66f5ae5e7ba78e2c71920b1a9ee9177b65/details

 

 

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

 

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
11 часов назад, safety сказал:

Stub.exe похоже с тем же функционалом, не видно следов шифрования.

https://www.virustotal.com/gui/file/248cb0c4b839baa5f7340ac87a99ed66f5ae5e7ba78e2c71920b1a9ee9177b65/details

Что еще хотел добавить в связи с этим. Похоже, что все (или большинство) файлы из папки new_folder. а так же возможно, что и в папке Downloads заражены вирусом Delf, в том числе и загруженные вами дешифраторы с сайта Касперского. (заражены они были уже в вашей системе).

 

Поэтому.

Если не планируете переустановить систему, то лучше проверить ее с помощью загрузочного диска:

Не факт, что он сможет вылечить файлы, а скорее всего только удалит.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Leo_Pahomov
      расшифровка файлов
      Автор Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      Автор Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Hendehog
      Расшифровка Отчета
      Автор Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
    • gin
      Помощь в расшифровке файлов
      Автор gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      Автор ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
×
×
  • Создать...