Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

шифровальщик JFZRZNDDZ

kocks33
 Поделиться

Рекомендуемые сообщения

kocks33

kocks33

Опубликовано
Опубликовано (изменено)

Добрый день!

На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера

Можно ли как то расшифровать файлы. Помогите пожалуйста.

Скриншот 23-06-2025 103534.jpg

Скриншот 23-06-2025 103436.jpg

Изменено пользователем kocks33
safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов, записку о выкупе в архиве без пароля

+

логи FRST из зашифрованной системы.

kocks33

kocks33

Опубликовано
  • Автор
Опубликовано (изменено)

Высылаю файлы и Логи FRST 

111.7z

logs.7z

Изменено пользователем kocks33
safety

safety

Опубликовано
Опубликовано

Добавьте так же папку reports из папки

2025-06-23 11:07 - 2025-06-23 11:30 - 000000000 ____D C:\KVRT2020_Data

для проверки результата сканирования KVRT

 

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету KVRT ничего не найдено.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKU\S-1-5-21-3104277884-3203561218-1761272143-1005\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1006\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1009\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1010\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1011\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1014\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1015\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1020\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1022\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1023\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1024\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3104277884-3203561218-1761272143-1025\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Прочти! - копия.txt [2025-06-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Прочти!.txt [2025-06-22] () [Файл не подписан]
2025-06-23 00:47 - 2025-06-23 00:47 - 004147254 _____ C:\ProgramData\JFzRZNDDZ.bmp
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти!.txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия.txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (9).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (8).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (7).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (6).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (5).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (4).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (3).txt
2025-06-22 20:54 - 2025-06-22 20:52 - 000000881 _____ C:\Users\Public\Desktop\Прочти! - копия (2).txt
2025-06-22 20:37 - 2025-06-22 20:52 - 000000000 ____D C:\Users\Администратор\AppData\Local\Advanced Port Scanner 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
kocks33

kocks33

Опубликовано
  • Автор
Опубликовано (изменено)

Все файлы загружены сюда

файл загружен, ссылка удалена

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zakhar05
      Поймали вчера вечером шифровальщик
      Автор Zakhar05
      Добрый день! Поймали (или ктото принес) шифровальщик, формат .FonOu4Mso.
      Текст письма:

      ВНИМАНИЕ!
      ----------------------------
      | Что случилось?
      ----------------------------
      Все ваши файлы, документы, фотографии, базы данных и другие данные зашифрованы надежными алгоритмами.
      Сейчас вы не можете получить доступ к файлам. Но не волнуйтесь. У вас есть шанс! Их легко восстановить, выполнив несколько шагов.
      ----------------------------
      | Как мне вернуть мои файлы?
      ----------------------------
      Единственный способ восстановить ваши файлы — приобрести уникальный приватный ключ, который надёжно хранится на наших серверах.
      Чтобы связаться с нами и приобрести ключ, напишите нам в мессенджер TOX.
      Инструкция:
      1) Скачать и установить мессенджер TOX - https://tox.chat/download.html
      2) Добавить нас в контакты, наш TOX ID - ECA7D8C2ECDF498A2F4E375BA17FE6341DE638A7A8DEC4F826061187DF901B277665A2B9A0E3
      3) После того как мы авторизируем ваш контакт, отправьте нам этот ID - ****
      ----------------------------
      | Что по поводу гарантий?
      ----------------------------
      Мы понимаем ваш стресс и беспокойство.
      Поэтому у вас есть БЕСПЛАТНАЯ возможность протестировать услугу, мгновенно расшифровав бесплатно три файла на вашем компьютере!
      Пишите по любым вопросам, наша поддержка вам тут же ответит, и поможет.
      С любовью, BELUGA Ransomware Team
       
      Зашифрованный файл и логи FRST прилагаю.
      Addition.txt FRST.txt product797.zip
    • imanushkin
      Lockbit с отложенным стартом
      Автор imanushkin
      24 октября потерял один комп с данными, затер полностью, но не учел тот факт что на компе были сохранены данные для входа в RDP.
      Вчера, 27.11 вирус шифровальщик запустился вновь, только уже в терминальной сессии пожрал там часть файлов к которым смог дотянуться, в том числе и сетевую шару примонтированную как сетевой диск. Теневые копии не сработали.
      Оставил послание, файл прикладываю.
       
      Файлы шифровальщика NS.exe, svchost.exe и wlan.exe по понятным причинам загрузить не могу.
      2E2h79m6S.README.txt Зашифрованные.rar
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Vitboss
      Вирус шифровальщик
      Автор Vitboss
      Утром наш сотрудник подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .KQpmP5XUV. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.
    • ДядяФедор
      Trojan-Ransom.Win32.Generic зашифрованы файлы данных
      Автор ДядяФедор
      Trojan-Ransom.Win32.Generic, зашифрованы файлы данных. Есть ли шанс на восстановление?Архив.zipAddition.txt
      FRST.txt
×
×
  • Создать...