Перейти к содержанию

Рекомендуемые сообщения

Владислав Эпштейн
Опубликовано

Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
Просканировать систему не представляется возможным через программу которая приложена в правилах.
Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
Посоветуйте пожалуйста о дальнейших действиях

Владислав Эпштейн
Опубликовано
1 час назад, Владислав Эпштейн сказал:

Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
Просканировать систему не представляется возможным через программу которая приложена в правилах.
Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
Посоветуйте пожалуйста о дальнейших действиях

Текст вымогателей и образцы зашифрованных файлов прилагаю.

HowToRestoreFiles.rar НаборЗашифрованных Файлов.rar

Опубликовано

Добавьте, пожалуйста, отчет о сканировании KVRT,

а так же, логи FRST из зашифрованной системы.

Владислав Эпштейн
Опубликовано
Только что, safety сказал:

Добавьте, пожалуйста, отчет о сканировании KVRT,

а так же, логи FRST из зашифрованной системы.

Подскажите, где их взять и как просканировать через FRST отдельно диск? Так как ОС с заражённого диска более не загружается, по этому все манипуляции воспроизводились на отдельной чистой ОС без подключения к интернету.
 

Опубликовано (изменено)
В 07.08.2025 в 17:12, Владислав Эпштейн сказал:

Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT*_DATA

C:\KVRT2020_Data\

Изменено пользователем safety
Владислав Эпштейн
Опубликовано
В 08.08.2025 в 00:03, safety сказал:

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT*_DATA

C:\KVRT2020_Data\

Вот файлы репорта, файлы карантина не умещаются по максимальному размеру по отправке.

Reports.rar

Опубликовано (изменено)

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик.

            <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" />

 

проверьте, есть ли такая папка на системном диске зашифрованного устройства:

C:\Users\user\AppData\Local

в этой папке должен быть скрытый каталог примерно с таким шаблоном имени

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

Если такая папка есть, заархивируйте папку с паролем virus, добавьте архив в ваше сообщение.

Изменено пользователем safety
Владислав Эпштейн
Опубликовано
22 минуты назад, safety сказал:

Судя по отчету папка с телом самого шифровальщика не найдена, только установщик.

            <Event2 Action="Detect" Time="133990313599522976" Object="D:\Users\user\AppData\Roaming\encryptor.exe" Info="Trojan-Ransom.Win32.Mimic.av" />

 

проверьте, есть ли такая папка на системном диске зашифрованного устройства:

C:\Users\user\AppData\Local

в этой папке должен быть скрытый каталог примерно с таким шаблоном имени

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

Ни в Local ни в Temp примерного не вижу, сделал фото

IMG_20250811_141202.jpg

IMG_20250811_141532.jpg

Опубликовано (изменено)

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим.

Обратите внимание, что папка может быть с атрибутом скрытый, и у вас может быть в проводнике не видна.

Изменено пользователем safety
Владислав Эпштейн
Опубликовано
Только что, safety сказал:

Логи FRST можете сделать из этой системы? активного шифрования в ней нет уже. Заодно и систему дочистим.

К сожалению система не стартует после зачистки KVRT по этому и продолжаю использовать диск установленный в хабе по usb.
Сейчас попробую запустить через "костыль"

Опубликовано (изменено)
4 минуты назад, Владислав Эпштейн сказал:

К сожалению система не стартует после зачистки KVRT

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое.

Пробуйте в безопасный режим с поддержкой сети загрузить ее.

Изменено пользователем safety
Владислав Эпштейн
Опубликовано
1 минуту назад, safety сказал:

судя по тем детектам и очистке файлов, которые есть в отчете KVRT - данная очистка не не должна быть причиной проблемы с загрузкой системы. Что то другое.

Запустилось, только после того как подкинул костыль в загрузчик. Мне безопасно вставлять флешки на эту систему? Потому что пишу с машины которая напрямую связана сервером, не очень хотелось бы подвергать опасности всю работу

Опубликовано (изменено)

Думаю, да. Шифровальщик не должен быть активен. Можете так же проверить есть ли подозрительные процессы на зашифрованном устройстве, прежде чем подключить флэшку.

Изменено пользователем safety
Владислав Эпштейн
Опубликовано
6 минут назад, safety сказал:

Думаю, да. Шифровальщик не должен быть активен.

 

Addition.txt FRST.txt

Опубликовано (изменено)

Эта папка о которой я писал выше. Она не в *Temp, а просто в *Local, и имеет скрытый атрибут.

Цитата

2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [browser.exe] => C:\Users\user\AppData\Local\HowToRestoreFiles.txt [4086 2025-08-04] () [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsReadOnly.vbs [2025-06-23] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-08-04 11:39 - 2025-08-04 11:39 - 000000000 ____D C:\temp
2025-08-04 10:49 - 2025-08-04 10:49 - 000000000 ____D C:\ProgramData\Avast Software
2025-08-04 11:55 - 2024-09-25 03:50 - 000000000 __SHD C:\Users\user\AppData\Local\CBCC2F73-486B-99BF-77E7-15F0E0C2CC5E
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • VNDR
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Tappa
      Автор Tappa
      Помогите расшифровать ключ 

    • Равиль.М
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
×
×
  • Создать...