Перейти к содержанию

Рекомендуемые сообщения

приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо

систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок

virus.zip Addition.txt Shortcut.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

А можно уточнить, что именно скачивали, и откуда. Можно пока точно ссылку не указывать.

Этот файл заархивируйте с паролем virus,

Цитата

C:\Windows\skipmetrosuite.exe

архив добавьте в ваше сообщение

Она у вас странным образом загружается в автозапуске:

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Windows\skipmetrosuite.exe, <==== ВНИМАНИЕ

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

 в папке проги там инсталеры ватцапа более не чего не качалось из нэта и с почты файлы как всегда от клиентов, других файлов небыло, даже не могу подсказать от куда появился шифровальщик

virus.zip progi.zip

Изменено пользователем farguskz
Ссылка на комментарий
Поделиться на другие сайты

36 минут назад, farguskz сказал:

с почты файлы как всегда от клиентов

это один из способов попадания шифровальщиков, хотя и редко используемый в последнее время. Особенно если под видом документа на самом деле скрывается испоняемый файл.

 

Вас просили прислать файл C:\Windows\skipmetrosuite.exe, а Вы повторно прислали архив из первого сообщения.

Ссылка на комментарий
Поделиться на другие сайты

Судя по логам, шифрование началось (как минимум в папке Загрузки пользователя z) приблизительно в 2025-07-30 14:35, а уже в 2025-07-30 15:18 один из новых файлов уцелел. Соответственно, чтобы сузить круг поиска (при условии, что шифрование началось после после прочтения чего-то по электронной почте), стоит посмотреть, что приходило по почте до указанного времени начала шифрования.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

спасибо, посмотрите пожалуйста скрины папок загрузок там не чего нету а вот в почте ссылка скачать при нажатии активируется, ссылку в тексте приложил

загрузки.jpg

почта.jpgссылка скачать.txt

ссылка скачать.txt

почта.jpg

Изменено пользователем farguskz
добавить почту
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, farguskz сказал:

извините проглядел

Файл скорее всего чистый, судя по описанию используется для настройки внешнего вида.

https://www.virustotal.com/gui/file/5f726de3eb78aaaea95a60ef4b2e97acf5fcdadce11abe14640d1cb6ebc01287/details

 

Вот конкретно по этому поводу и надо уточнить у менеджера, который утверждает что шифрование началось "после установки дистрибутива скаченного с официального сайта" - что именно он скачал, (название пакета установки, с какого сайта скачивал).

 

Примерное начало шифрования:

2025-07-30 14:35 - 2018-01-24 21:46 - 000002380 _____ C:\отключение усиленой конфигурации експлорера.txt.kjhVigUjl

 

пока выясняем причину атаки шифровальщика стоит позаботиться о бэкапах  данных, которые вам будут необходимы для восстановления зашифрованных файлов.

 

Выяснить причину важно для того, чтобы атака шифровальщика не повторилась вновь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

42 минуты назад, farguskz сказал:

ссылку в тексте приложил

сделайте по другому.

Это сообщение сохраните как файл в формате EML (т.е. вместе с вложением оно будет), файл добавьте в архив с паролем virus, и загрузите архив в ваше  сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Судя по VT вложение чистое. Добавьте таким же образом три другие сообщения в этот же день, которые были с вложением.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

в этот день не было больше писем, эти письма в вложении за 29, 28число, в рассылке(7от30 и 4 письма от 29) мы даже не открываем письма также как и соц сети(там писем нету за эти даты)

mail.zip

Ссылка на комментарий
Поделиться на другие сайты

проверьте ЛС.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ferri
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...