Перейти к содержанию

Рекомендуемые сообщения

Доброго дня. зашифровались все файлы в формат .danie 
Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
Помогите пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

надо вначале определить тип шифровальщика, чтобы понять возможна ли расшифровка файлов или нет.

 

Добавьте несколько зашифрованных файлов + записку о выкупе в одном архиве

+

добавьте логи FRST для анализа и определения типа шифровальщика.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Добрый день. на ПК после включения обнаружил что файлы зашифрованы и имеют формат .danie 
Помогите расшифровать ил хоть какую-нибудь информацию по дешифровки, тип шифровальщика и т.п.
Меня волнует только один файл базы 1С, остальное в принципе я могу удалить и переустановить винду.
Закрепил файл txt злоумышленника и какой-то файл с рабочего стола (может ярлык, может какой-то другой файл. (не знаю, что это был за файл раньше))

#HowToRecover.txt 8LDP9e6GEU.rar

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

 

Не нашел старую тему и поэтому создал новую, спасибо за объединение.
Добавил логи, записку, файлы с рабочего стола и вроде как картинки (зашифрованные), пароль архива - virus

 

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

Ссылка на комментарий
Поделиться на другие сайты

В 10.05.2025 в 02:04, safety сказал:

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

 

report_2025.05.05_20.04.17.klr.rar

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://cloud.mail.ru/public/6m2C/yfRdn8vGd

Ссылка на комментарий
Поделиться на другие сайты

Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.
 
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • MidgardS1
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...