Перейти к содержанию

шифровальщик JFZRZNDDZ

kocks33
 Поделиться

Рекомендуемые сообщения

kocks33

kocks33

Опубликовано
Опубликовано (изменено)

Добрый день!

На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера

Можно ли как то расшифровать файлы. Помогите пожалуйста.

Скриншот 23-06-2025 103534.jpg

Скриншот 23-06-2025 103436.jpg

Изменено пользователем kocks33
safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов, записку о выкупе в архиве без пароля

+

логи FRST из зашифрованной системы.

kocks33

kocks33

Опубликовано
  • Автор
Опубликовано (изменено)

Высылаю файлы и Логи FRST 

111.7z

logs.7z

Изменено пользователем kocks33
safety

safety

Опубликовано
Опубликовано

Добавьте так же папку reports из папки

2025-06-23 11:07 - 2025-06-23 11:30 - 000000000 ____D C:\KVRT2020_Data

для проверки результата сканирования KVRT

 

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету KVRT ничего не найдено.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKU\S-1-5-21-3104277884-3203561218-1761272143-1005\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1009\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1010\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1011\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1014\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1015\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1020\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1022\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1023\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1024\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1025\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Прочти! - копия.txt [2025-06-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Прочти!.txt [2025-06-22] () [Файл не подписан]
2025-06-23 00:47 - 2025-06-23 00:47 - 004147254 _____ C:\ProgramData\JFzRZNDDZ.bmp
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти!.txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия.txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (9).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (8).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (7).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (6).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (5).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (4).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (3).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (2).txt
2025-06-22 20:37 - 2025-06-22 20:52 - 000000000 ____D C:\Users\Администратор\AppData\Local\Advanced Port Scanner 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
kocks33

kocks33

Опубликовано
  • Автор
Опубликовано (изменено)

Все файлы загружены сюда

файл загружен, ссылка удалена

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • avkor66
      Шифровальщик с расширением .SanxK6eaA
      Автор avkor66
      Доброго дня всем форумчанам!
       
      Настигла беда, поймали шифровальщик на рабочий сервер, зашифровал все текстовые документы, изображения, базы данных 1С и прочее, все файлы с расширением ".SanxK6eaA"
      Пршлись по каждой папке, в каждой папке оставили файл с информацией о выкупе "SanxK6eaA.README.txt" с просьбой связаться по электронному адресу: mrbroock@msgsafe.io 
      Просят 1000$ и дают непонятные гарантии.
      Kaspersky Internet Security нашел один вирус: "HEUR:Trojan.Multi.Runner.y"  не знаю, относится он к шифровальщикам или нет, не знаю.
       
      Сориентируйте пожалуйста по дальнейшим действиям
      В приложении файлы зашифрованные, незашифрованные, требования, логи.
      Заранее спасибо.
      virus.zip
    • ростислав88
      Файлы зашифрованы Trojan.Encoder.31074 (Lockbit 3)
      Автор ростислав88
      Зашифровали файлы на 10 компах. Данные пока такие, попробую собрать больше попой же. 
      Текст требования
       
      И несколько зараженный файлов  в архиве.
       
      Desktop.rar
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      Автор Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Андрей121
      Шифровальщик Trojan.Encoder.32210 (Lockbit 3) file.4HNnrRWXy
      Автор Андрей121
      Добрый вечер! Обнаружили что 21.06.2023 тихо взломали 2 наших сервера с помощью вируса шифровальщика вроде бы Trojan.Encoder.31074 (Lockbit 3). Обнаружил после того как пользователи начали жаловаться на то что документы не открываются. На сам рабочий стол доступ имелся и было обнаружено что лицензионного антивирусного программного обеспечения kaspersky endpoint security нигде нет. Решил написать пост в данной теме на форуме ( в dr web сразу отказались помочь т.к сказали что это невозможно, только сказали имя шифровальщика). Переписку с вымогателями не вел. Систему не лечил и не чистил. Очень нужна помощь по восстановлению данных.
    • viktor42
      Файлы на компьютере зашифровались расширением KVmxXhJX1
      Автор viktor42
      Файлы на компьютере зашифровались расширением KVmxXhJX1.
      Есть ли вариант расшифровки?
×
×
  • Создать...