Перейти к содержанию

Рекомендуемые сообщения

Павел Бурдейный
Опубликовано

Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы

Лист Microsoft Office Excel.xlsx

Павел Бурдейный
Опубликовано
44 минуты назад, thyrex сказал:

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите все необходимое к следующему сообщению в текущей теме.

Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы

Лист Microsoft Office Excel.xlsx

Опубликовано
Строгое предупреждение от модератора thyrex

Перечитайте написанное по ссылке в моем предыдущем сообщении. Следующее сообщение с нарушением правил приведет к закрытию темы.

 

Павел Бурдейный
Опубликовано

Пользователи на разных филиалах обнаружили у себя активность на ПК, думали, что это я подключился. После этих действий файлы стали зашифрованными. Все прикрепил.

Прошу помочь. Спасибо!!! 

Всё сделал, как написано в правилах.

#README.7z Addition.txt Cherchil_77777].7z FRST.txt

Опубликовано

Может, вы у себя вначале проверите, потом напишите пароль, или исправите вложение?

 

image.png

Опубликовано

Касперского поставили после шифрования файлов?

Можете добавить отчет по обнаружению и сканированию в архиве, без пароля?

Павел Бурдейный
Опубликовано

Сделал проверку KVRT, а после поставил Антивирус. Полная проверка занимала много времени, и я ее остановил. Быстрая проверка результата не дала. Во вложении отчет

отчет.rar

Павел Бурдейный
Опубликовано
Только что, safety сказал:

А в KVRT было что-то найдено?

Да. Удалил

image.thumb.png.34b82517b19fdca9bae902ed4f5a911f.png

Опубликовано

Эту папку заархивируйте с паролем virus, архив добавьте в ваше сообщение.

2025-07-18 10:37 - 2025-07-18 10:44 - 000000000 ____D C:\Users\Админ\Desktop\64

 

+

файл 64.exe попробуйте восстановить из карантина KVRT,

image.png

файл добавить в архив с паролем virus, и поместить в ваше сообщение.

 

Павел Бурдейный
Опубликовано (изменено)

архив загружен, файл удален

Изменено пользователем safety
архив загружен, файл удален

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Rowman
      Автор Rowman
      Здравствуйте!
      Файлы на сервере были зашифрованы zeppelin-ом. Система зависла в процессе, поэтому работу вирус не завершил. Сервер после этого не загружал, подключил HDD к другому компьютеру, и вытащил ключи из реестра вместе файлом вируса. Как я понимаю, бесплатное решение на данный момент отсутствует. Коммерческой лицензии Касперского нет. Имеет ли смысл её приобретать для обращения в техподдержку (помогут ли)?
      20.zip
    • itz
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
    • Роман Суслов
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Макар мухаметсабиров
      Автор Макар мухаметсабиров
    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
×
×
  • Создать...