Перейти к содержанию

Зашифровали сервер и копьютеры.

komma77
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

В этой папке покажите, что у вас?

2025-06-28 00:08 - 2025-06-28 00:21 - 000000000 ____D C:\Users\Андрей*\Desktop\netpass-x64

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Дешифраторы, которые вы скачали, увы, не помогут в расшифровке ваших файлов.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\oLv9tK0S5.README.txt [2025-06-28] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 ATICDSDr; \??\C:\Users\78A6~1\AppData\Local\Temp\ATICDSDr.sys [X] <==== ВНИМАНИЕ
2025-06-28 08:33 - 2025-06-28 08:33 - 020386224 _____ (Famatech Corp. ) C:\Users\АндрейКомлев\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2025-06-28 01:43 - 2025-06-28 10:19 - 000000000 ____D C:\Users\АндрейКомлев\AppData\Roaming\Process Hacker 2
2025-06-28 00:08 - 2025-06-28 00:21 - 000000000 ____D C:\Users\АндрейКомлев\Desktop\netpass-x64
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Если выполнили ранее сканирование системы с помощью KVRT или Cureit, добавьте, пожалуйста, отчеты о сканировании, в архиве, без пароля.

Если был найден сэмпл, которым выполнено шифрование, поместите сэмпл в архив с паролем virus, и добавьте архив в ваше сообщение.

 

+

проверьте ЛС.

safety

safety

Опубликовано
Опубликовано (изменено)

В Pictures кроме processhacker ничего более нет? Возможно в эту папку злоумышленник складировал свои вредоносные инструменты

C:\users\андрей*\pictures\phx64\processhacker.exe - infected - 70ms, 1719840 bytes

----

сэмпл к сожалению не найден, или самоудалился.

Total 6 files (7 objects) are infected

 

 

Изменено пользователем safety
komma77

komma77

Опубликовано
  • Автор
Опубликовано

Там только папка пустая

 

phx64.7z

 

Обнаружил на втором компьютере.

 

Пароль virus

safety

safety

Опубликовано
Опубликовано (изменено)

Это только process hacker - вспомогательный инструмент злоумышленников, тела шифровальщика у нас нет.

 

теперь, когда ваши данные был зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • strana2016
      Вирус-шифровальщик labubu
      Автор strana2016
      Поймали такой вирус, на одном из компьютеров сети появился файл с требованиями LABUBU, Новый сетевой диск и часть данных на компьютере, а так же в общей папке локальной сети зашифрована .dom. Kaspersky отключился. Можно ли полагать, что это все, что он успел зашифровать или лучше не включать зараженный компьютер? И может ли через общую папку он проникнуть в компьютеры других пользователей? Спасибо

    • Alex955
      Шифровальщик зашифровал все файлы в формат .UxJ9PqWn7
      Автор Alex955
      Добрый день , все файлы зашифрованы и переведены в неизвестный формат .UxJ9PqWn7   есть ли шансы восстановить файлы? куда копать?
      UxJ9PqWn7.README.txt FN-00455.pdf.zip
    • yaregg
      Diamond Ransomware
      Автор yaregg
      Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.
      При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?
       
       
       
       
      файлы.rarAddition.txtFRST.txt
    • Владислав Николаевич
      Зашифровали Lockbit.HA!MTB
      Автор Владислав Николаевич
      Сервер и все физические тачки зашифрованы.
      Нигде на просторах интернета не нашел дешифратор.
      На всех устройствах стоял Kaspersky Endpoint Security, но что-то пошло не так.
      В архиве текстовик с телеграммом вредителя и пример файлов, которые зашифрованы.
      Друзья, хелп)
      Crypt.rar
    • Алексейtime
      Вирус шифровальщик 21.12.2025
      Автор Алексейtime
      Доброе время суток, сегодня обнаружил что всё зашифровано, проверили cureit ничего не обнаружил, от слова ничего. Файлы зашифрованы и конечно же письмо ниже. Подскажите есть смысл с этим бороться или можно всё похоронить? Один из файлов прикрепил

                                                     YOUR FILES HAVE BEEN ENCRYPTED!
      Hello. All of your files have been encrypted by ransomware. Your important documents, photos, and databases are no longer accessible.
      We have used strong encryption algorithms that cannot be broken. Do not try to recover the files yourself or use third-party tools. This will only lead to permanent data loss. The only way to get your files back is to pay the ransom.
      To restore your data, you must send a payment in Bitcoin
      You have 24 hours to make the payment. If you do not pay within this timeframe, the price will double. If you ignore this message for 7 days, your files will be deleted forever.
      To buy Bitcoin and send it, you would typically:
      Search online for instructions on how to buy Bitcoin.
      Follow instructions on a cryptocurrency exchange platform.
      Send the specified amount to the provided address.
      After sending the payment, you might be instructed to send a unique ID to an email address to receive a decryption key.
      Your Unique ID: ***
      Email: chunwen@atomicmail.io
      Jabber : chunwen@xmpp.jp
      How to use it? (for newbie)
      Sign up
      https://www.xmpp.jp/signup
      press https://www.xmpp.jp/client/
      Press add a contact in a left side
      XMPP ADRESS
      and add my jabber chunwen@xmpp.jp and press add
      Write me a message with your Unique ID
      IT IS FAST AND ANONYMOUS!
      The message would often state that the intention is solely financial and that once payment is confirmed, a decryption tool would be provided, with no further contact.
       
      amuhUv4.rar
×
×
  • Создать...