Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго дня. зашифровались все файлы в формат .danie 
Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
Помогите пожалуйста.

Опубликовано (изменено)

надо вначале определить тип шифровальщика, чтобы понять возможна ли расшифровка файлов или нет.

 

Добавьте несколько зашифрованных файлов + записку о выкупе в одном архиве

+

добавьте логи FRST для анализа и определения типа шифровальщика.

Изменено пользователем safety
Опубликовано

Добрый день. на ПК после включения обнаружил что файлы зашифрованы и имеют формат .danie 
Помогите расшифровать ил хоть какую-нибудь информацию по дешифровки, тип шифровальщика и т.п.
Меня волнует только один файл базы 1С, остальное в принципе я могу удалить и переустановить винду.
Закрепил файл txt злоумышленника и какой-то файл с рабочего стола (может ярлык, может какой-то другой файл. (не знаю, что это был за файл раньше))

#HowToRecover.txt 8LDP9e6GEU.rar

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

 

Не нашел старую тему и поэтому создал новую, спасибо за объединение.
Добавил логи, записку, файлы с рабочего стола и вроде как картинки (зашифрованные), пароль архива - virus

 

FRST.rar

Опубликовано

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

Опубликовано
В 10.05.2025 в 02:04, safety сказал:

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

 

report_2025.05.05_20.04.17.klr.rar

Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Опубликовано
9 часов назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://cloud.mail.ru/public/6m2C/yfRdn8vGd

Опубликовано
Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.
 
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...