Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю

1. результаты Farbar Recovery Scan Tool
2. зашифрованные файлы
3. шифровальщик

4. текст вымогателя

пароль на все файлы virus

shifr.rar

Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
S3 AIDA64Driver; \??\C:\Users\Lena\AppData\Local\Temp\Rar$EXb12212.33648\AIDA64\kerneld.x64 [X] <==== ВНИМАНИЕ
S3 NEProtect; \??\C:\Games\Steam\steamapps\common\Once Human\NEProtect.sys [X]
S3 RTCore64; \??\C:\Program Files (x86)\MSI Afterburner\RTCore64.sys [X]
2025-04-17 13:01 - 2025-04-13 23:17 - 000516096 _____ C:\Users\Lena\Downloads\4C8BDB8FC1F02F77C03F717C9A7CBF28.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Опубликовано
В 21.04.2025 в 08:51, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

пароль virus

Fixlog.rar

Опубликовано (изменено)

Для шифрования PROTON обычно злоумышленники скачивают в учетную запись, через которую было подключение по RDP файлы шифровальщика с именем Stub.exe для запуска в 32 и 64=х разрядных системах.

(После запуска Stub.exe файл шифровальщика может быть переименован в подобное имя:

4C8BDB8FC1F02F77C03F717C9A7CBF28.exe

Если выполняли сканирование в Cureit или KVRT, то эти файлы могли быть найдены.

Расшифровке файлов это не поможет. К сожалению, PROTON использует надежную схему шифрования, и без приватного ключа файлы не могут быть расшифрованы.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Опубликовано
49 минут назад, safety сказал:

Если выполняли сканирование в Cureit или KVRT, то эти файлы могли быть найдены.

Расшифровке файлов это не поможет. К сожалению, PROTON использует надежную схему шифрования, и без приватного ключа файлы не могут быть расшифрованы.

получается зашифрованные файлы уже не восстановить?

49 минут назад, safety сказал:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

сканировал только стандартным дефендором винды10. все обновления везде регулярно проверялись. порт рдп не стандартный.

Опубликовано

Такой еще скрипт очистки выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
Task: {92891DEB-9CB9-455F-A569-81FBD243D45A} - System32\Tasks\Lena => C:\windows\system32\cmd.exe [289792 2024-05-15] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lena /t REG_SZ /d "cmd.exe /c start www.dinoklafbzor.org" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

добавьте новые логи FRST для контроля.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Влад1992
      Автор Влад1992
      Добрый день.
      Словил шифровальщик 
      1 Addition
      2. FRST
      Addition.rar FRST.rar
    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
×
×
  • Создать...