Перейти к содержанию

Зашифровали сервер и копьютеры.

komma77
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

В этой папке покажите, что у вас?

2025-06-28 00:08 - 2025-06-28 00:21 - 000000000 ____D C:\Users\Андрей*\Desktop\netpass-x64

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Дешифраторы, которые вы скачали, увы, не помогут в расшифровке ваших файлов.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\oLv9tK0S5.README.txt [2025-06-28] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 ATICDSDr; \??\C:\Users\78A6~1\AppData\Local\Temp\ATICDSDr.sys [X] <==== ВНИМАНИЕ
2025-06-28 08:33 - 2025-06-28 08:33 - 020386224 _____ (Famatech Corp. ) C:\Users\АндрейКомлев\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2025-06-28 01:43 - 2025-06-28 10:19 - 000000000 ____D C:\Users\АндрейКомлев\AppData\Roaming\Process Hacker 2
2025-06-28 00:08 - 2025-06-28 00:21 - 000000000 ____D C:\Users\АндрейКомлев\Desktop\netpass-x64
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Если выполнили ранее сканирование системы с помощью KVRT или Cureit, добавьте, пожалуйста, отчеты о сканировании, в архиве, без пароля.

Если был найден сэмпл, которым выполнено шифрование, поместите сэмпл в архив с паролем virus, и добавьте архив в ваше сообщение.

 

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

В Pictures кроме processhacker ничего более нет? Возможно в эту папку злоумышленник складировал свои вредоносные инструменты

C:\users\андрей*\pictures\phx64\processhacker.exe - infected - 70ms, 1719840 bytes

----

сэмпл к сожалению не найден, или самоудалился.

Total 6 files (7 objects) are infected

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • F_Aliaksei
      Зашифрованы копьютеры и сервера в домене
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • VladDos
      С77L зашифровали сервера 1С
      Автор VladDos
      11.06.25 в 4:50 были зашифрованы сервера с базами 1С, в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).
      Текстовый файлик с инструкцией для выкупа - стандартная схема. Да вот только не можем толку дать, что делать с ключем дешифрации и куда его девать чтобы расшифровать наши файлы.
      Зашифрованный файлик, декриптор и ключ прикладыDecryptor.zipваю.
    • evg-gaz
      зашифровали сервер
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
×
×
  • Создать...