sauron Помощи с шифровальщиком

[safety]

здесь все полезное уже зашифровано.

64.zip.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK

попробуйте из карантина KVRT извлечсь файл 64.exe, антивирусную защиту временно отключить. Файл после извлечение переименовать в 64.vexe, и добавить в архив с паролем virus, Файл архива добавьте в ваше сообщение. Архив с файлом, и сам файл можно удалить и включить защиту.

Изменено 19 часов назад пользователем safety

[Павел Бурдейный]

Сейчас

 

файл загружен, архив удален

Изменено 17 часов назад пользователем Павел Бурдейный

[safety]

Сэмпл шифровальщика:

https://www.virustotal.com/gui/file/5b934bb39c833fac11bfab1804b2f0e5276a7c37166dfe0b05a9ae3f962fad1f?nocache=1

 

Много драйверов неподписанных в системе, что это может быть?

 

 

 

 

Изменено 16 часов назад пользователем safety

[Павел Бурдейный]

Не знаю, Это ПК Касса в магазине цифровой техники с базой 1С

 

[safety]

По очистке системы от файлов шифровальщика:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2025-07-18] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2312955964-2356314201-1808932627-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 luminati_net_updater_win_mediaget_com; "C:/Users/Админ/MediaGet2/Luminati-m/net_updater32.exe" --updater win_mediaget.com [X]
2025-07-18 10:37 - 2025-07-18 10:44 - 000000000 ____D C:\Users\Админ\Desktop\64
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Если нужна проверка системы на наличие другого вредоносного кода:

 

Сделайте в uVS дополнительно образ автозапуска.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1  Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6.

 

Если запросили обычный образ автозапуска, переходим сразу к п.4

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

 

Изменено 15 часов назад пользователем safety

[Павел Бурдейный]

14 минут назад, safety сказал:

Сэмпл шифровальщика:

Что мне дальше делать с этим?

[safety]

1, Выполните скрипт очистки в FRST

2. Соберите образа автозапуска в uVS для проверки драйверов, возможно что они чистые.

 

С расшифровкой файлов, к сожалению, не сможем помочь без приватного ключа.

 

теперь, когда ваши данные был зашифрованыs, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Изменено 15 часов назад пользователем safety

[Павел Бурдейный]

Fixlog.txt

[safety]

Хорошо, образ сделайте, но я проверить могу только завтра.

[Павел Бурдейный]

На экране такое сообщение

If you are reading this message, it means that:

- your network infrastructure has been compromised,
- critical data was leaked,
- files are encrypted
   The best and only thing you can do is to contact us to settle the matter before any losses occurs.
   If You Want To Restore Them Telegram Us : https://t.me/Cherchil_77777
   If You Do Not Receive A Response Within 24 Hours,contact via Tox ID: 07D7265E401740576800D6EFA975466C67889A7A0499884FDBB829DBB00F85254BC35D22D0B3
 

DESKTOP-PFHIAKO_2025-07-18_18-19-06_v5.0.RC4.v x64.7z