Перейти к содержанию

Утром приключилась беда. Схватил шифровальщика. Расширение .TeGgRfQk1.

АндрейПеркка

Автор АндрейПеркка
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите код, который Вам предоставил коллега, и скопируйте в буфер обмена (правая кнопка мышиКопировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • АндрейПеркка

    17

  • safety

    12

  • thyrex

    5

  • Mark D. Pearlstone

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

АндрейПеркка
АндрейПеркка

Message17545466221890473130.part1.rar Message17545466221890473130.part2.rar   report.rar

Изображения в теме

safety

safety

Опубликовано
Опубликовано (изменено)
11 часов назад, АндрейПеркка сказал:

И что с ссылкой этой делать?

С ссылкой  ничего не надо делать. Это ссылка на результат проверки данного файла.

 

Кроме Fixlog мы вас просили:

1.

Цитата

 

Если это ваше устройство, проверьте что есть в почте за день-два до шифрования.

Если есть сообщение с темой "Акт сверки*" и с вложенным архивом, или со ссылкой на файл в сети, сохраните данное сообщение в файл в формате eml, заархивируйте файл с паролем virus, и добавьте архив в ваше сообщение.

 

2.
 

Цитата

 

Добавьте отчеты по обнаружению и сканированию из антивируса Касперского,

Если сканировали в KVRT,

найдите в корне диска папку KVRT*_DATA

добавьте отчеты  из папки reports в архиве, без пароля.

 

3.

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

по файлу eml:

Сообщение то самое. Письмо адресное,  с полным расчетом, что оно будет перенаправлено бухгалтеру уже с доверенного адреса.

Что во вложении видим:

1. исполняемый файл + файл для отвлечения внимания.

image.png

2. Если загрузить файл Eml для проверки (по сути будет проверен архив (он без пароля)

детектируется как бэкдор многими антивирусами.

https://www.virustotal.com/gui/file/45c1ff1de033ec4b1b1e1c35fcde3e3d88bd35f0a2dc4b3efeeb33b51cc4a667?nocache=1

 

3. Если загрузить архив (1.zip)

https://www.virustotal.com/gui/file/7dd33e93c3f4d7cfad237c011377acd09a1167b1dc07149247a2fb44f3b9505e/details

видим предупреждение, что архив содержит исполняемый файл.

image.png

Что надо сделать:

Как минимум, установить запрет на запуск исполняемых файлов из архивов. + информировать сотрудников об опасности, исходящей из вложений почты, т.е. обращать внимание является ли файл во вложении тем самым офисным документом. + антивирусная защита должна была сработать на устройстве, так как файл детектируется основными антивирусами.

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По архиву report:

Здесь непонятно, что в нем. все файлы зашифрованы. Так не должно быть. Добавьте просто в архив всю папку KVRT2020_DATA

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Опять не то.

Папка с отчетами Kaspersky Virus Removal Tool (KVRT) находится по адресу C:\KVRT2020_Data\Report

safety

safety

Опубликовано
Опубликовано (изменено)

Здесь в отчете только результаты  сканирования сегодня, т.е. уже после очистки скриптом FRST

    <Metadata Version="1" PCID="{B7C1AD1F-114A-ED29-CB0A-D1BA7EB1203A}" LastModification="2025.08.10 17:58:19.261" />

и понятно, что ничего не обнаружено.

С ваших слов вы выполняли проверку после логов FRST но до скриптов очистки.
 

Цитата

 

Thyrex: Запускали проверку на вирусы с помощью Касперского после сбора логов Farbar по правилам?

Вы: Да

 

Вот этот отчет о проверке и нужен. Возможно, вы делали это не с помощью KVRT, а штатным антивирусом, тогда нужен отчет по обнаружениям и сканированию из антивируса Касперского.

Изменено пользователем safety
АндрейПеркка

АндрейПеркка

Опубликовано
  • Автор
Опубликовано

Делал штатным антивирусом Kaspersky 21.22

safety

safety

Опубликовано
Опубликовано
Только что, АндрейПеркка сказал:

Делал штатным антивирусом Kaspersky 21.22

Тогда добавьте отчет по обнаружениям и сканированию из антивируса Касперского.

safety

safety

Опубликовано
Опубликовано (изменено)

Опять не то.
 

Цитата

 

Антивирус Касперского предоставляет гибкие возможности для создания и настройки отчетов о сканировании и обнаружении угроз. Вы можете использовать журнал событий или раздел "Отчеты" в настройках приложения для получения необходимой информации. 

 

 

 

Вам надо открыть консоль антивируса, зайти в отчеты, выбрать последний отчет по обнаружениям и сканированию, и сохранить его в текстовый файл. Этот файл нам и нужен. Если он будет большим, заархивируйте его без пароля.

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...