Перейти к содержанию

KOZANOSTRA

nogaev21
 Поделиться

Рекомендуемые сообщения

nogaev21

nogaev21

Опубликовано
Опубликовано

Добрый день! Столкнулся с такой же проблемой подскажите какие действия нужно предпринять? Заранее Спасибо!

Сообщение от модератора kmscom

Сообщение перенесено из темы KOZANOSTRA шифровальщик

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-07-05 11:53 - 2025-07-05 11:53 - 000000986 _____ C:\Decrypt_KOZANOSTRA.txt
2025-07-07 08:15 - 2023-10-06 19:09 - 000000000 __SHD C:\Users\Kassa\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F
2025-07-05 11:53 - 2025-07-05 11:53 - 000000000 ____D C:\temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

End::

Изменено пользователем safety
nogaev21

nogaev21

Опубликовано
  • Автор
Опубликовано

Извеняюсь что дал не полную инфу машина виртуальная hyper-v. При копировании скрипта в корне диска создается файл но ребута нет так как и в пуске нет и cmd этого не делает. Как быть в такой ситуации?

 

safety

safety

Опубликовано
Опубликовано (изменено)

Если Fixlog.txt был создан, значит скрипт выполнился, + проверьте создана папка C:\FRST\Quarantine или нет. (Перезагрузку системы, сами сделаете, когда будет удобно.)

Изменено пользователем safety
nogaev21

nogaev21

Опубликовано
  • Автор
Опубликовано (изменено)

архив загружен, ссылка удалена

 

 

Fixlog.txt

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

Очистка выполнена корректно.

Если систему сканировали Курейт или KVRT, добавьте логи сканирования в архиве, без пароля

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

уже все зачищено.

There are no infected objects detected

Я имел ввиду, что возможно что вы до того, как сделать логи FRST уже сканировали в Курейт или KVRT.

 

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SEDEK
      Шифровальщик
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
    • SPQR35
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор SPQR35
      Зашифрованы документы на ПК. forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt Файлы.rar
    • Gulzat
      Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • VictorM630103
      Помощь в расшифровке после действия шифровальщика
      Автор VictorM630103
      HEUR:Trojan-Ransom.Win32.Generic зашифровал файлы в системе. Добавленное расширение .gh8ta. Заражение произошло после открытия вложенного файла в электронном письме.
      Прилагаю логи, сообщение о выкупе. Файл вируса имеется в архиве (не прикреплен). Есть расшифрованные вымогателем пробные файлы.
      FRST.txt Файлы и сообщение о выкупе.zip
    • stifler511
      Зашифровали файлы forumkasperskyclubru@msg.ws
      Автор stifler511
      Здравствуйте, зашифровали файлы forumkasperskyclubru@msg.ws
      Addition.txt FRST.txt
      примеры
      Примеры файлов.rar
×
×
  • Создать...