Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Зашифровались файлы

tamerlan
 Поделиться

Рекомендуемые сообщения

tamerlan

tamerlan

Опубликовано
Опубликовано

Доброго дня. зашифровались все файлы в формат .danie 
Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
Помогите пожалуйста.

safety

safety

Опубликовано
Опубликовано (изменено)

надо вначале определить тип шифровальщика, чтобы понять возможна ли расшифровка файлов или нет.

 

Добавьте несколько зашифрованных файлов + записку о выкупе в одном архиве

+

добавьте логи FRST для анализа и определения типа шифровальщика.

Изменено пользователем safety
tamerlan

tamerlan

Опубликовано
  • Автор
Опубликовано

Добрый день. на ПК после включения обнаружил что файлы зашифрованы и имеют формат .danie 
Помогите расшифровать ил хоть какую-нибудь информацию по дешифровки, тип шифровальщика и т.п.
Меня волнует только один файл базы 1С, остальное в принципе я могу удалить и переустановить винду.
Закрепил файл txt злоумышленника и какой-то файл с рабочего стола (может ярлык, может какой-то другой файл. (не знаю, что это был за файл раньше))

#HowToRecover.txt 8LDP9e6GEU.rar

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

 

Не нашел старую тему и поэтому создал новую, спасибо за объединение.
Добавил логи, записку, файлы с рабочего стола и вроде как картинки (зашифрованные), пароль архива - virus

 

FRST.rar

safety

safety

Опубликовано
Опубликовано

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

tamerlan

tamerlan

Опубликовано
  • Автор
Опубликовано
В 10.05.2025 в 02:04, safety сказал:

Добавьте так же отчеты из папки reports после сканирования KVRT

2025-05-05 20:04 - 2025-05-05 20:23 - 000000000 ____D C:\KVRT2020_Data

лучше в архиве, без пароля

 

 

 

report_2025.05.05_20.04.17.klr.rar

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
tamerlan

tamerlan

Опубликовано
  • Автор
Опубликовано
9 часов назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005\i386] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
HKU\S-1-5-21-3002159631-3267286427-2459598448-1003\...\RunOnce: [Uninstall 25.046.0310.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q
Task: {A89C4719-2010-4675-B9CE-61EAEC1EAA1D} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6C7219B0-4102-43EF-AC64-FC7B94769634} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3002159631-3267286427-2459598448-1003 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-02 05:20 - 2025-05-02 05:20 - 019264054 _____ C:\ProgramData\D07B2BA07595909574C416A80181E455.bmp
2025-05-02 05:18 - 2025-05-02 05:20 - 000000000 ____D C:\Users\1C\Desktop\24122024
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

https://cloud.mail.ru/public/6m2C/yfRdn8vGd

safety

safety

Опубликовано
Опубликовано
Расшифровка файлов по данному типу шифровальщика, к сожалению, невозможна без приватного ключа.
 
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Chaserhunt
      Шифровальщик reopening2025@gmail.com декабрь 2025
      Автор Chaserhunt
      Здравствуйте,
      работали в терминале через VPN,
      в связи с блокировками работать стало не возможно,
      перебросили порты и работали по rdp напрямую.
      антивирусов не было.
      в 06.12 зашифровало сервер 2008 R2 64bit,
      в каждой папке все файлы зашифрованы, и текстовый файл с инструкцией по разблокировке.
      FRST64 на сервере не запускается, предлагает скачать подходящую версию, на win 10 и 11 запускается.
      Пример.zip #HowToRecover.txt Virus.rar
    • Pexorka
      Зашифровали файлы
      Автор Pexorka
      Добрый вечер! Сегодня утром обнаружили что на сервере зашифрованы все файлы и созданы 2 новых тома А и В. прикрепляю зашифрованные файлы и требования выкупа, пароль архива virus. Прошу помочь в расшифровке, заранее спасибо !
      Addition.txt FRST.txt Helper.zip
    • vladimir_kornienkov
      Нужна помощь с расшифровкой файлов
      Автор vladimir_kornienkov
      Добрый день, в 2:00 ночи были зашифрованы все файлы на сервере. Windows 2008 R2 😃 да да, он еще существует
       
      Есть письмо с требованием:

      Warning: Your files have been stolen and encrypted. 
       
      If you want your files back, contact us at the email addresses shown below: 
       
      sembekker@aol.com 
       
      Telegram: @decrypt_yourfile 
       
      # In subject line please write your personal ID 
      ID: 3EAB3BB6E939ECF31504E5DC8AE33F61
       
       
      Check Your Spam Folder: After sending your emails, please check your spam/junk folder 
      regularly to ensure you do not miss our response. 
       
      No Response After 24 Hours: If you do not receive a reply from us within 24 hours, 
      please create a new, valid email address (e.g., from Gmail, Outlook, etc.) 
      and send your message again using the new email address.
       
      Что удалось на яндексить по этому шифровальщику:
       
      Есть ссылка на гит с этой почтой и телегой: https://github.com/rivitna/Malware/blob/main/Proton/attackers.txt
       Так же, по тому что я увидел на сервере, был влом аккаунта Администратор, в папку моя музыка был закинут архив под название zip и в нем есть содержимое: архив загружен, ссылка удалена
    • SerGUNt
      просим помощи с шифровальщиком lsjx
      Автор SerGUNt
      Здравствуйте.
      Взломали компьютер по RDP, зашифровали файлы. Требуют денежку, в текстовых файлах во всех папках раскидали этот файл с контактами. все файлы имеют такой вид: file.[reopening2025@gmail.com].lsjx
      Пытался просканировать FRST ,но её вышибало (запускалась и при нажатии сканировать закрывалась), пока не просканировал всю систему с помощью KVRT, он нашёл только один вирус который сидел в системе: System Memory: HEUR:Trojan.Multi.Ifeodeb.a , пришлось вылечить его из памяти после чего FRST заработал. (кроме его ничего не нашлось, я и ничего лишнего не лечил , только из самой памяти).
      Все данные прикрепляю.
      Так же на рабочем столе есть один не зашифрованный exe файл с названием (WinScan2PDF.exe), что мне показалось странным и я его запаковал на всякий случай как вирус с паролем virus (всё как по мануалу).
      Будем благодарны если рассмотрите мою ситуацию и спасёте файлы.
      В архиве file.7z файлы с примером зашифрованных файлов и текстовик с вымоганием.
       
      virus.7z FRST.7z file.7z
    • Валерий Гурьянов
      Сначала атаковал вирус neshta, затем отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.
      Автор Валерий Гурьянов
      Заметили, что атаковал вирус neshta, приобрели антивирус Kaspersky Endpoint Security (расширенный), вычистили при его помощи вирус, защита была включена. Ночью отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...