Перейти к содержанию

вирус

farguskz
 Поделиться

Рекомендуемые сообщения

farguskz

farguskz

Опубликовано
Опубликовано

приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо

систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок

virus.zip Addition.txt Shortcut.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

А можно уточнить, что именно скачивали, и откуда. Можно пока точно ссылку не указывать.

Этот файл заархивируйте с паролем virus,

Цитата

C:\Windows\skipmetrosuite.exe

архив добавьте в ваше сообщение

Она у вас странным образом загружается в автозапуске:

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Windows\skipmetrosuite.exe, <==== ВНИМАНИЕ

 

Изменено пользователем safety
farguskz

farguskz

Опубликовано
  • Автор
Опубликовано (изменено)

 в папке проги там инсталеры ватцапа более не чего не качалось из нэта и с почты файлы как всегда от клиентов, других файлов небыло, даже не могу подсказать от куда появился шифровальщик

virus.zip progi.zip

Изменено пользователем farguskz
thyrex

thyrex

Опубликовано
Опубликовано
36 минут назад, farguskz сказал:

с почты файлы как всегда от клиентов

это один из способов попадания шифровальщиков, хотя и редко используемый в последнее время. Особенно если под видом документа на самом деле скрывается испоняемый файл.

 

Вас просили прислать файл C:\Windows\skipmetrosuite.exe, а Вы повторно прислали архив из первого сообщения.

farguskz

farguskz

Опубликовано
  • Автор
Опубликовано

извините проглядел, на почте обычные файлы пдф вроде проглядели все загрузки не видно странных файлов

skipmetrosuite.zip

thyrex

thyrex

Опубликовано
Опубликовано

Судя по логам, шифрование началось (как минимум в папке Загрузки пользователя z) приблизительно в 2025-07-30 14:35, а уже в 2025-07-30 15:18 один из новых файлов уцелел. Соответственно, чтобы сузить круг поиска (при условии, что шифрование началось после после прочтения чего-то по электронной почте), стоит посмотреть, что приходило по почте до указанного времени начала шифрования.

  • Like (+1) 1
farguskz

farguskz

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо, посмотрите пожалуйста скрины папок загрузок там не чего нету а вот в почте ссылка скачать при нажатии активируется, ссылку в тексте приложил

загрузки.jpg

почта.jpgссылка скачать.txt

ссылка скачать.txt

почта.jpg

Изменено пользователем farguskz
добавить почту
safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, farguskz сказал:

извините проглядел

Файл скорее всего чистый, судя по описанию используется для настройки внешнего вида.

https://www.virustotal.com/gui/file/5f726de3eb78aaaea95a60ef4b2e97acf5fcdadce11abe14640d1cb6ebc01287/details

 

Вот конкретно по этому поводу и надо уточнить у менеджера, который утверждает что шифрование началось "после установки дистрибутива скаченного с официального сайта" - что именно он скачал, (название пакета установки, с какого сайта скачивал).

 

Примерное начало шифрования:

2025-07-30 14:35 - 2018-01-24 21:46 - 000002380 _____ C:\отключение усиленой конфигурации експлорера.txt.kjhVigUjl

 

пока выясняем причину атаки шифровальщика стоит позаботиться о бэкапах  данных, которые вам будут необходимы для восстановления зашифрованных файлов.

 

Выяснить причину важно для того, чтобы атака шифровальщика не повторилась вновь.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
42 минуты назад, farguskz сказал:

ссылку в тексте приложил

сделайте по другому.

Это сообщение сохраните как файл в формате EML (т.е. вместе с вложением оно будет), файл добавьте в архив с паролем virus, и загрузите архив в ваше  сообщение.

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по VT вложение чистое. Добавьте таким же образом три другие сообщения в этот же день, которые были с вложением.

 

Изменено пользователем safety
farguskz

farguskz

Опубликовано
  • Автор
Опубликовано

в этот день не было больше писем, эти письма в вложении за 29, 28число, в рассылке(7от30 и 4 письма от 29) мы даже не открываем письма также как и соц сети(там писем нету за эти даты)

mail.zip

safety

safety

Опубликовано
Опубликовано (изменено)

проверьте ЛС.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
×
×
  • Создать...