Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile

Artyom1990
 Поделиться

Рекомендуемые сообщения

Artyom1990

Artyom1990

Опубликовано
Опубликовано

Здравствуйте, прошу помочь, подхватили шифровальщик, не могу ни удалить ни расшифровать файлы.

.[Rdpdik6@gmail.com].lockedfile

анкета сокращенная.pdf.[Rdpdik6@gmail.com]

SearchReg.txt Addition.txt FRST.txt

Это то что отправил вымогатель.

#Read-for-recovery.txt

Это то что отправил вымогатель.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Систему сканировали утилитами: Cureit или KVRT? Можете добавить логи сканирования в архиве, без пароля?

 

Добавьте так же несколько зашифрованных файлов в архиве, без пароля.

-------------

Скорее всего это  PROTON.

Пример шифрования здесь.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: Rdpdik6@gmail.com
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety изменил название на Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile
safety

safety

Опубликовано
Опубликовано

Правильно я понял, что вы выполняли сканирование системы и не обнаружили сэмпл шифровальщика?

Если сканировали в Курейт и не нашли, пробуйте еще выполнить проверку KVRT.

Ссылка на комментарий
Поделиться на другие сайты
Artyom1990

Artyom1990

Опубликовано
  • Автор
Опубликовано
1 минуту назад, safety сказал:

Правильно я понял, что вы выполняли сканирование системы и не обнаружили сэмпл шифровальщика?

Если сканировали в Курейт и не нашли, пробуйте еще выполнить проверку KVRT.

Да, нечего не нашёл, так ну сейчас попробую KVRT

Ссылка на комментарий
Поделиться на другие сайты
Artyom1990

Artyom1990

Опубликовано
  • Автор
Опубликовано
В 08.04.2025 в 15:35, safety сказал:

Хорошо, ждем отчет KVRT.

Вчера поставил KVRT, в итоге простоял он 15 часов, проверил один объект из 9 и шла проверка дальше, точнее на одном месте так и стояла, соответственно никакого отчёта нет.

 

16 часов назад, Artyom1990 сказал:

Вчера поставил KVRT, в итоге простоял он 15 часов, проверил один объект из 9 и шла проверка дальше, точнее на одном месте так и стояла, соответственно никакого отчёта нет.

 

report_2025.04.09_08.47.48.klr.rar

Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
safety

safety

Опубликовано
Опубликовано
58 минут назад, Kaiser7 сказал:

есть ли решение этого шифровальщика?

Если вы столкнулись с данным шифровальщиком, создайте новую тему в данном разделе,

добавьте в ваше сообщение все необходимые файлы и логи согласно правилам.

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • KL FC Bot
      Defendnot отключает встроенный антивирус
      Автор KL FC Bot
      Многие современные компании поддерживают политику BYOD (Bring Your Own Device) — то есть разрешают сотрудникам использовать собственные устройства для служебных нужд. Особенно эта практика распространена в организациях, приветствующих удаленный формат работы. У BYOD есть масса очевидных преимуществ, однако внедрение подобной политики создает новые риски для кибербезопасности компании.
      Для предотвращения угроз ИБ-отделы часто выдвигают требование наличия защитного решения в качестве обязательного условия для использования собственного устройства для работы. В то же время некоторые сотрудники — особенно продвинутые и уверенные в себе технические специалисты — могут считать, что антивирус вряд ли может быть полезен и, скорее всего, будет усложнять им жизнь.
      Это не самое разумное мнение, но переубедить таких людей может быть не так уж просто. Главная проблема состоит в том, что уверенные в своей правоте сотрудники могут найти способ обмануть систему. Сегодня в рамках рубрики «Предупрежден — значит вооружен» мы расскажем об одном из них: о новом исследовательском проекте под названием Defendnot, который позволяет отключать Microsoft Defender на устройствах с Windows, регистрируя фальшивый антивирус.
      Как эксперимент с no-defender показал, что Microsoft Defender можно отключить с помощью поддельного антивируса
      Чтобы разобраться в том, как работает Defendnot, нам придется перенестись на год назад. Тогда исследователь с Twitter-ником es3n1n, который является автором этого инструмента, опубликовал первую версию проекта на GitHub. Он назывался no-defender, и его задачей также являлось отключение встроенного антивируса Windows Defender.
      Для выполнения этой задачи es3n1n эксплуатировал специальный программный интерфейс Windows под названием WSC API (Windows Security Center — Центр безопасности Windows). Через него антивирусное ПО сообщает системе о том, что оно установлено и берет на себя защиту устройства в режиме реального времени. Получив такое сообщение, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных решений на одном устройстве.
      На основе кода существующего защитного решения исследователь смог создать свой поддельный «антивирус», который регистрировался в системе и проходил все проверки Windows. После этого Microsoft Defender отключался, а устройство оставалось незащищенным, поскольку no-defender на практике не имел никаких защитных функций.
      Проект no-defender достаточно быстро набрал популярность на GitHub и успел получить 2 тысячи звезд от благодарных пользователей. Однако компания-разработчик антивируса, чей код использовал исследователь, отправила на него жалобу о нарушении Закона об авторском праве в цифровую эпоху (DMCA). Поэтому es3n1n удалил код проекта из GitHub, оставив только страничку с описанием.
       
      View the full article
    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • Hikasi21
      Столкнулись с шифровальщиком .hop_dec (decodehop@gmail.com)
      Автор Hikasi21
      Здравствуйте. 
      Зашифровались все файлы в домене, вирус запускался от имени администратора домена, для восстановления доступа злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

      Лог FRST, пример зашифрованных файлов и архив с вирусом в приложении
       FRST_log.zip  
      encrypted_files.zip virus(password_123).zip
×
×
  • Создать...