Перейти к содержанию

Расшифровка kwx8

slavel94
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл известен вам?

C:\ProgramData\Synaptics\Synaptics.exe

Проверьте на Virustotal.com, дайте ссылку на результат проверки.

Судя по логу FRST папка с этим файлом создана на момент шифрования.

2025-03-21 20:37 - 2025-03-21 20:39 - 000000000 __SHD C:\ProgramData\Synaptics
 

 

Изменено пользователем safety
slavel94

slavel94

Опубликовано
  • Автор
Опубликовано

Нет, я тоже заметил, что там были манипуляции. Судя по данным поисковиков, этот файл отвечает за тачпад

safety

safety

Опубликовано
Опубликовано (изменено)

Сюда https://virustotal.com

его (C:\ProgramData\Synaptics\Synaptics.exe) загрузите, 

и дайте ссылку на результат проверки.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По чистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM-x32\...\Run: [Synaptics Pointing Device Driver] => C:\ProgramData\Synaptics\Synaptics.exe [771584 2025-03-21] (Synaptics) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-03-21 23:08 - 2025-03-21 23:08 - 006052662 _____ C:\ProgramData\98A34FD132C98CCA640001A9C003381E.bmp
2025-03-21 20:37 - 2025-03-21 20:39 - 000000000 __SHD C:\ProgramData\Synaptics
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы пробуйте так же восстановить из карантина, добавить в архив с паролем virus, и загрузить на облачный диск, здесь дать ссылку, или в ЛС.

            <Event44 Action="Select action" Time="133871931135535218" Object="C:\Users\Администратор\Desktop\New folder\bin-1.3.1\Win32-Release\Stub.exe" Info="Skip" />

должен быть рядом и другой:

            <Event44 Action="Select action" Time="133871931135535218" Object="C:\Users\Администратор\Desktop\New folder\bin-1.3.1\Win64-Release\Stub.exe" Info="Skip" />

 

+

 

Проверьте ЛС,

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

или просто эту папку заархивируйте с паролем virus

2025-03-21 20:33 - 2025-03-21 20:39 - 000000000 ____D C:\Users\Администратор\Desktop\New folder

архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

+

Интересный детект:

            <Event38 Action="Detect" Time="133871911262818894" Object="C:\Users\Администратор\Downloads\RakhniDecryptor\RakhniDecryptor.exe" Info="Backdoor.Win32.DarkKomet.hqxy" />

+

эту папку заархивируйте без пароля

2025-03-23 15:32 - 2025-03-23 15:32 - 000000000 ____D C:\Users\Администратор\Downloads\RakhniDecryptor

возможно что ложный детект по файлу, если вы скачали его с официального сайта.

 

 

 

Изменено пользователем safety
slavel94

slavel94

Опубликовано
  • Автор
Опубликовано (изменено)

Rakhni я скачивал
Архив с паролем virus/ "ссылка удалена".

Изменено пользователем safety
файлы загружены, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

NS.exe троян, и именно он ставил Synaptics

https://www.virustotal.com/gui/file/7eca6ee31cf005da22892ed6839c4299c43b3959c06ab7c7753153aad4c4cffd/behavior

image.png

Stub.exe похоже с тем же функционалом, не видно следов шифрования.

https://www.virustotal.com/gui/file/248cb0c4b839baa5f7340ac87a99ed66f5ae5e7ba78e2c71920b1a9ee9177b65/details

 

 

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

 

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
11 часов назад, safety сказал:

Stub.exe похоже с тем же функционалом, не видно следов шифрования.

https://www.virustotal.com/gui/file/248cb0c4b839baa5f7340ac87a99ed66f5ae5e7ba78e2c71920b1a9ee9177b65/details

Что еще хотел добавить в связи с этим. Похоже, что все (или большинство) файлы из папки new_folder. а так же возможно, что и в папке Downloads заражены вирусом Delf, в том числе и загруженные вами дешифраторы с сайта Касперского. (заражены они были уже в вашей системе).

 

Поэтому.

Если не планируете переустановить систему, то лучше проверить ее с помощью загрузочного диска:

Не факт, что он сможет вылечить файлы, а скорее всего только удалит.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • logic-20004
      Поймали шифровальщик
      Автор logic-20004
      Доброе утро всем! Кто-нибудь сталкивался с подобным?

    • Eddd
      Зашифрован виртуальный сервер
      Автор Eddd
      Добрый день. Сегодня зашифровали сервер с бд по RDP. К сожалению резервная копия сделана была уже после шифрования. Сам вирус найти не удалось в файлах. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования.FRST.txtAddition.txtfiles.rar
    • Chaserhunt
      Шифровальщик reopening2025@gmail.com декабрь 2025
      Автор Chaserhunt
      Здравствуйте,
      работали в терминале через VPN,
      в связи с блокировками работать стало не возможно,
      перебросили порты и работали по rdp напрямую.
      антивирусов не было.
      в 06.12 зашифровало сервер 2008 R2 64bit,
      в каждой папке все файлы зашифрованы, и текстовый файл с инструкцией по разблокировке.
      FRST64 на сервере не запускается, предлагает скачать подходящую версию, на win 10 и 11 запускается.
      Пример.zip #HowToRecover.txt Virus.rar
    • Келл
      Сервера подверглись атаке, шифрование.
      Автор Келл
      Добрый день!
      23.12 Подверглись атаке, вирус зашифровал несколько серверов. Предположительно было запущено вручную, обнаружили папку на рабочем столе одного из пользователей "bojblackrz", в ней библиотека и файл "svchost.exe". На одном из серверов лежал парсер mimikatz.
      Помогите пожалуйста определить тип шифровальщика, есть-ли дешифратор?
      Recover - записка с выкупом.
      Пароль на архивы: 1111
      Образцы.7z
      Recover.7z
    • Nae
      Зашифрован терминальный сервер 1С
      Автор Nae
      Addition.txtFRST.txt
      Система нормально запускается, интересует только восстановление баз 1С.
      Спасибо!
      файлы и записка.rar
×
×
  • Создать...