Перейти к содержанию

вирус

farguskz
 Поделиться

Рекомендуемые сообщения

farguskz

farguskz

Опубликовано
Опубликовано

приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо

систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок

virus.zip Addition.txt Shortcut.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

А можно уточнить, что именно скачивали, и откуда. Можно пока точно ссылку не указывать.

Этот файл заархивируйте с паролем virus,

Цитата

C:\Windows\skipmetrosuite.exe

архив добавьте в ваше сообщение

Она у вас странным образом загружается в автозапуске:

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Windows\skipmetrosuite.exe, <==== ВНИМАНИЕ

 

Изменено пользователем safety
farguskz

farguskz

Опубликовано
  • Автор
Опубликовано (изменено)

 в папке проги там инсталеры ватцапа более не чего не качалось из нэта и с почты файлы как всегда от клиентов, других файлов небыло, даже не могу подсказать от куда появился шифровальщик

virus.zip progi.zip

Изменено пользователем farguskz
thyrex

thyrex

Опубликовано
Опубликовано
36 минут назад, farguskz сказал:

с почты файлы как всегда от клиентов

это один из способов попадания шифровальщиков, хотя и редко используемый в последнее время. Особенно если под видом документа на самом деле скрывается испоняемый файл.

 

Вас просили прислать файл C:\Windows\skipmetrosuite.exe, а Вы повторно прислали архив из первого сообщения.

farguskz

farguskz

Опубликовано
  • Автор
Опубликовано

извините проглядел, на почте обычные файлы пдф вроде проглядели все загрузки не видно странных файлов

skipmetrosuite.zip

thyrex

thyrex

Опубликовано
Опубликовано

Судя по логам, шифрование началось (как минимум в папке Загрузки пользователя z) приблизительно в 2025-07-30 14:35, а уже в 2025-07-30 15:18 один из новых файлов уцелел. Соответственно, чтобы сузить круг поиска (при условии, что шифрование началось после после прочтения чего-то по электронной почте), стоит посмотреть, что приходило по почте до указанного времени начала шифрования.

  • Like (+1) 1
farguskz

farguskz

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо, посмотрите пожалуйста скрины папок загрузок там не чего нету а вот в почте ссылка скачать при нажатии активируется, ссылку в тексте приложил

загрузки.jpg

почта.jpgссылка скачать.txt

ссылка скачать.txt

почта.jpg

Изменено пользователем farguskz
добавить почту
safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, farguskz сказал:

извините проглядел

Файл скорее всего чистый, судя по описанию используется для настройки внешнего вида.

https://www.virustotal.com/gui/file/5f726de3eb78aaaea95a60ef4b2e97acf5fcdadce11abe14640d1cb6ebc01287/details

 

Вот конкретно по этому поводу и надо уточнить у менеджера, который утверждает что шифрование началось "после установки дистрибутива скаченного с официального сайта" - что именно он скачал, (название пакета установки, с какого сайта скачивал).

 

Примерное начало шифрования:

2025-07-30 14:35 - 2018-01-24 21:46 - 000002380 _____ C:\отключение усиленой конфигурации експлорера.txt.kjhVigUjl

 

пока выясняем причину атаки шифровальщика стоит позаботиться о бэкапах  данных, которые вам будут необходимы для восстановления зашифрованных файлов.

 

Выяснить причину важно для того, чтобы атака шифровальщика не повторилась вновь.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
42 минуты назад, farguskz сказал:

ссылку в тексте приложил

сделайте по другому.

Это сообщение сохраните как файл в формате EML (т.е. вместе с вложением оно будет), файл добавьте в архив с паролем virus, и загрузите архив в ваше  сообщение.

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по VT вложение чистое. Добавьте таким же образом три другие сообщения в этот же день, которые были с вложением.

 

Изменено пользователем safety
farguskz

farguskz

Опубликовано
  • Автор
Опубликовано

в этот день не было больше писем, эти письма в вложении за 29, 28число, в рассылке(7от30 и 4 письма от 29) мы даже не открываем письма также как и соц сети(там писем нету за эти даты)

mail.zip

safety

safety

Опубликовано
Опубликовано (изменено)

проверьте ЛС.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей45
      Помощь в расшифровке. upyVegTmW
      Автор Андрей45
      Добрый день

      поймали  вирус локбит3 блэк
       
      Ниже две ссылки
      1. Файл образа диска. ссылку отпрвлю в лс, напишите мне пожалуйста, не могу
      Это , якобы,  расшифрованный проблемный диск. Ранее у него было двойное  расширение (upyVegTmW.upyVegTmW) и файл не поменял расширение. Мы поменяли его в ручную на VHD и прогоняли черещ Р-студио , но данные внутри частично повреждены. Возможно диск был зашифрован два раза.
      2. во вложении декриптор и приемры файлов. нас очень интересует возможность расшифровать vhd диски.

      Вопрос
      Можно ли расшифровать до конца файл образа диска? или нет. Мы получили дешифратор, но как будто диск зашифровался два раза.  Через р студио часть данных битые.
      virus.rar
    • Rival
      Шифровальщик LockBit Black Ransomware
      Автор Rival
      Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).
      FRST.txt unity.zip Addition.txt
      decrypted_files.zip
    • Андрей Салтыков
      Вирус шифровальщик, помогите расшифровать файлы. Расширение QS4ZtPd2i
      Автор Андрей Салтыков
      Здравствуйте, зашифровали файлы.
      Our Telegram for decrypt - @limes853
      You can send some small test files to test our decryptor.
      You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar Сам шифровальщик intel.7z Отчет.rar
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • Sart
      Давнишнее заражение
      Автор Sart
      Приветствую
      Зашифровано давно, февраль 2023 г
      Человек открыл вложение "Информация должнику.exe" из письма
      Просто оставлю тут, вдруг когда-нибудь всплывёт расшифровка
      blackbit.rar
×
×
  • Создать...