Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
подключились предположительно по RDP
зашифровали все базы 1с, бэкапы, архивы, документы
файл с обращением от вымогателей нашли
Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
Как можно обезопасится от подобного?
Поможет ли установка Kaspersky на все компьютеры сети?

Во вложении архив с примерами зашифрованных файлов из папки php
Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

photo_2025-07-03_13-06-30.jpg

php.rar

Опубликовано

Забыл уточнить Kaspersky Virus Removal Tool запускал в безопасном режиме  Windows 7
kvrt0002.rar - первый архив из карантина с паролем как указано в "Порядке оформления запроса о помощи"
вторым сообщением будет второй файл из карантина и файл FRST.txt

kvrt0002.rar Reports.rar

Еще файлы

FRST.txt KVRTQ0000.rar

Опубликовано (изменено)

Этот файл восстановите из карантина, добавьте в архив с паролем virus, загрузите архив в ваше сообщение.

            <Event6 Action="Detect" Time="133959954834091373" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe"

            <Event19 Action="Select action" Time="133960134781899133" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe" Info="Quarantine" />

 

(после загрузки файл можно удалить)

Изменено пользователем safety
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-07-03 01:02 - 2022-01-16 06:14 - 000000000 __SHD C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A
2025-07-03 16:52 - 2016-04-07 18:43 - 000000000 ____D C:\TEMP
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано
2 часа назад, safety сказал:

Этот файл восстановите из карантина, добавьте в архив с паролем virus, загрузите архив в ваше сообщение.

            <Event6 Action="Detect" Time="133959954834091373" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe"

            <Event19 Action="Select action" Time="133960134781899133" Object="C:\Users\Director\AppData\Local\A830A994-1E61-805B-532D-74E13170897A\svhost.exe" Info="Quarantine" />

 

(после загрузки файл можно удалить)

во вложении запрошенный вами файл

svhost.rar

Опубликовано (изменено)

Детект файла svhost.exe:

Kaspersky: HEUR:Trojan-Ransom.Win32.Mimic.gen

https://virusscan.jotti.org/ru-RU/filescanjob/7ub5sdl2p1

VirusTotal - File - ac64c6cb57bed2e4c716cf856ef042e65d1b33a3ffc05790c5dcdc98b5999817

version: 7.x, extension: "enkacrypt", note name: "Decrypt_enkacrypt.txt" locker name: "svhost.exe", keys: 10374

 

Хорошо, выполните очистку системы в FRST, скрипт выше.

 

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

+

проверьте ЛС.

---------------

По второму ПК. Возможно, что на втором ПК не было запуска шифровальщика, т.е. были зашифрованы только папки из общего доступа.

Если  необходима проверка второго ПК, сделайте на нем логи FRST, добавьте в эту же тему, здесь   и проверим.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kubanrentgen
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • alya
      Автор alya
      ENKACRYPT-QRLFPOCXG5AW2JW9LLSPRCIVOA5MON8XKYKTTC2ZOZG" (.enkacrypt-QRLFPOCxg5aw2jW9lLsPRcIVOA5MOn8xKYkTtC2zOzg)
      Вот такой теперь формат абсолютно у всех файлов после вируса шифровальщика
      Прикрепляю пару файлов и письмо от злоумышленников 
      Может кто уже сталкивался с ними?  
      Attachments_sysadmin_spb@conte.ru_2025-08-25_11-12-08.zip
    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Андрей007090
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
×
×
  • Создать...