Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго дня. зашифровались все файлы в формат .danie 
Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
Помогите пожалуйста.

Опубликовано (изменено)

надо вначале определить тип шифровальщика, чтобы понять возможна ли расшифровка файлов или нет.

 

Добавьте несколько зашифрованных файлов + записку о выкупе в одном архиве

+

добавьте логи FRST для анализа и определения типа шифровальщика.

Изменено пользователем safety
Опубликовано

Добрый день. на ПК после включения обнаружил что файлы зашифрованы и имеют формат .danie 
Помогите расшифровать ил хоть какую-нибудь информацию по дешифровки, тип шифровальщика и т.п.
Меня волнует только один файл базы 1С, остальное в принципе я могу удалить и переустановить винду.
Закрепил файл txt злоумышленника и какой-то файл с рабочего стола (может ярлык, может какой-то другой файл. (не знаю, что это был за файл раньше))

#HowToRecover.txt 8LDP9e6GEU.rar

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

 

Не нашел старую тему и поэтому создал новую, спасибо за объединение.
Добавил логи, записку, файлы с рабочего стола и вроде как картинки (зашифрованные), пароль архива - virus

 

FRST.rar

Опубликовано

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

Опубликовано
В 10.05.2025 в 02:04, safety сказал:

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

 

report_2025.05.05_20.04.17.klr.rar

Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Опубликовано
9 часов назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://cloud.mail.ru/public/6m2C/yfRdn8vGd

Опубликовано
Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.
 
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dpk
      Автор dpk
      Ночью к серверу подключились по rdp. На рабочем столе обнаружились папки злоумышленника. Одна из них hi в ней лежал stub.exe. Все журналы событий были почищены.
      В безопасном режиме прошелся cureit, а так же лог FRST в безопасном режиме был сделан. Папка hi под паролем virus. Папка files под паролем shifr.
      hi.zip files.zip
    • specxpilot
    • SonG
      Автор SonG
      Вирус зашифровал на NAS сервере (WD) все файлы. Доступа к сбору статистики нет, т.к. это закрытая система WD
      Во вложении 2 архива.
      Есть ли дешифровщик? 
      original.zip
      Архив с зашифрованными данными 
      encrypted.zip
    • Bionikal
      Автор Bionikal
      Вирус зашифровал все файлы в папках, кроме файлов с расширением *.exe, в каждой папке создал файл #HowToRecover.txt ;расширение зашифрованных файлов *.1cxz
      #HowToRecover.txt Примеры зашифрованных файлов.rar
    • andry-555
      Автор andry-555
      вирус зашифровал все файлы в папках в открытом доступе кроме файлов с расширением *.exe в каждой папке создал файла 2 файла от либо возможно было 2 вируса
      файлы с расширением *.exe заражены вирусом NeshtaFRST.txtAddition.txt
      архив с файлами и требованиями злоумышленников.zip
×
×
  • Создать...