Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
С надеждой, Альбина

Shortcut_23-04-2025 17.30.07.txt Logs.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте несколько зашифрованных файлов в архиве без пароля+

записку о выкупе

2025-04-21 13:27 - 2025-04-21 13:27 - 000000388 _____ C:\#Read-for-recovery.txt

+

этот файл заархивируйте с паролем virus, и добавьте в ваше сообщение.

2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe

 

Ссылка на комментарий
Поделиться на другие сайты

Да, это PROTON.

https://www.virustotal.com/gui/file/5ab32154fecfb39447b6bf5e111ed0d132ed1c31e3e29536ac125c5da7b81e0c

 

Только Web Console от Kaspersky установлена? Антивирусной программы не было?

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: MasterData717@gmail.com
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-04-21 13:42 - 2025-04-21 13:42 - 005062710 _____ C:\ProgramData\E5D6B51A8F3CA53D5FFFA700E2F88103.bmp
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
2025-04-21 13:21 - 2025-04-21 13:21 - 000128000 _____ C:\Users\GhostUser\Downloads\NS.exe
2025-04-21 13:27 - 2025-03-29 01:58 - 000396800 _____ C:\Users\Администратор\Desktop\Proton.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

 

Ссылка на комментарий
Поделиться на другие сайты

1. Был установлеFixlog.txtн Kaspersky endpoint Security. Kaspersky Security Center 11. 

2. При попытке создания архива "C:\FRST\Quarantine"  архиватор выдал ошибку, "Отказано в доступе" к файлу 'C:\FRST\Quarantine\C\Users\GhostUser\Downloads\NS.exe .xBAD

image.png

Ссылка на комментарий
Поделиться на другие сайты

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, safety сказал:

KES функционирует сейчас? Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского?

На момент архивирования пробуйте отключить антивирусную защиту.

Здравствуйте. Kes функционирует. Прилагаю архив с отчетом с начала недели. Шифровальщик словили в пн.
При отключенном антивирусе все равно не дает сделать архив папки C:\FRST\Quarantine.

отчет KES.zip

Ссылка на комментарий
Поделиться на другие сайты

Возможно по этой причине и нет детекта:
 

Цитата

 

22.04.2025 16:31:32    Не удалось выполнить задачу    Обновление    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Невозможно запустить задачу        Обновление    Лицензия не допускает работу компонента    

24.04.2025 13:02:23    Базы сильно устарели    Защита    Kaspersky Endpoint Security для Windows    TRAVEL-JAM\student    Базы сильно устарели  

----------

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

    

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Pristan
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • GLADvanger
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • foroven
      Автор foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
×
×
  • Создать...