Перейти к содержанию

Утром приключилась беда. Схватил шифровальщика. Расширение .TeGgRfQk1.

АндрейПеркка

Автор АндрейПеркка
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите код, который Вам предоставил коллега, и скопируйте в буфер обмена (правая кнопка мышиКопировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • АндрейПеркка

    17

  • safety

    12

  • thyrex

    5

  • Mark D. Pearlstone

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

АндрейПеркка
АндрейПеркка

Message17545466221890473130.part1.rar Message17545466221890473130.part2.rar   report.rar

Изображения в теме

safety

safety

Опубликовано
Опубликовано (изменено)
11 часов назад, АндрейПеркка сказал:

И что с ссылкой этой делать?

С ссылкой  ничего не надо делать. Это ссылка на результат проверки данного файла.

 

Кроме Fixlog мы вас просили:

1.

Цитата

 

Если это ваше устройство, проверьте что есть в почте за день-два до шифрования.

Если есть сообщение с темой "Акт сверки*" и с вложенным архивом, или со ссылкой на файл в сети, сохраните данное сообщение в файл в формате eml, заархивируйте файл с паролем virus, и добавьте архив в ваше сообщение.

 

2.
 

Цитата

 

Добавьте отчеты по обнаружению и сканированию из антивируса Касперского,

Если сканировали в KVRT,

найдите в корне диска папку KVRT*_DATA

добавьте отчеты  из папки reports в архиве, без пароля.

 

3.

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

по файлу eml:

Сообщение то самое. Письмо адресное,  с полным расчетом, что оно будет перенаправлено бухгалтеру уже с доверенного адреса.

Что во вложении видим:

1. исполняемый файл + файл для отвлечения внимания.

image.png

2. Если загрузить файл Eml для проверки (по сути будет проверен архив (он без пароля)

детектируется как бэкдор многими антивирусами.

https://www.virustotal.com/gui/file/45c1ff1de033ec4b1b1e1c35fcde3e3d88bd35f0a2dc4b3efeeb33b51cc4a667?nocache=1

 

3. Если загрузить архив (1.zip)

https://www.virustotal.com/gui/file/7dd33e93c3f4d7cfad237c011377acd09a1167b1dc07149247a2fb44f3b9505e/details

видим предупреждение, что архив содержит исполняемый файл.

image.png

Что надо сделать:

Как минимум, установить запрет на запуск исполняемых файлов из архивов. + информировать сотрудников об опасности, исходящей из вложений почты, т.е. обращать внимание является ли файл во вложении тем самым офисным документом. + антивирусная защита должна была сработать на устройстве, так как файл детектируется основными антивирусами.

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По архиву report:

Здесь непонятно, что в нем. все файлы зашифрованы. Так не должно быть. Добавьте просто в архив всю папку KVRT2020_DATA

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Опять не то.

Папка с отчетами Kaspersky Virus Removal Tool (KVRT) находится по адресу C:\KVRT2020_Data\Report

safety

safety

Опубликовано
Опубликовано (изменено)

Здесь в отчете только результаты  сканирования сегодня, т.е. уже после очистки скриптом FRST

    <Metadata Version="1" PCID="{B7C1AD1F-114A-ED29-CB0A-D1BA7EB1203A}" LastModification="2025.08.10 17:58:19.261" />

и понятно, что ничего не обнаружено.

С ваших слов вы выполняли проверку после логов FRST но до скриптов очистки.
 

Цитата

 

Thyrex: Запускали проверку на вирусы с помощью Касперского после сбора логов Farbar по правилам?

Вы: Да

 

Вот этот отчет о проверке и нужен. Возможно, вы делали это не с помощью KVRT, а штатным антивирусом, тогда нужен отчет по обнаружениям и сканированию из антивируса Касперского.

Изменено пользователем safety
АндрейПеркка

АндрейПеркка

Опубликовано
  • Автор
Опубликовано

Делал штатным антивирусом Kaspersky 21.22

safety

safety

Опубликовано
Опубликовано
Только что, АндрейПеркка сказал:

Делал штатным антивирусом Kaspersky 21.22

Тогда добавьте отчет по обнаружениям и сканированию из антивируса Касперского.

safety

safety

Опубликовано
Опубликовано (изменено)

Опять не то.
 

Цитата

 

Антивирус Касперского предоставляет гибкие возможности для создания и настройки отчетов о сканировании и обнаружении угроз. Вы можете использовать журнал событий или раздел "Отчеты" в настройках приложения для получения необходимой информации. 

 

 

 

Вам надо открыть консоль антивируса, зайти в отчеты, выбрать последний отчет по обнаружениям и сканированию, и сохранить его в текстовый файл. Этот файл нам и нужен. Если он будет большим, заархивируйте его без пароля.

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей45
      Помощь в расшифровке. upyVegTmW
      Автор Андрей45
      Добрый день

      поймали  вирус локбит3 блэк
       
      Ниже две ссылки
      1. Файл образа диска. ссылку отпрвлю в лс, напишите мне пожалуйста, не могу
      Это , якобы,  расшифрованный проблемный диск. Ранее у него было двойное  расширение (upyVegTmW.upyVegTmW) и файл не поменял расширение. Мы поменяли его в ручную на VHD и прогоняли черещ Р-студио , но данные внутри частично повреждены. Возможно диск был зашифрован два раза.
      2. во вложении декриптор и приемры файлов. нас очень интересует возможность расшифровать vhd диски.

      Вопрос
      Можно ли расшифровать до конца файл образа диска? или нет. Мы получили дешифратор, но как будто диск зашифровался два раза.  Через р студио часть данных битые.
      virus.rar
    • Rival
      Шифровальщик LockBit Black Ransomware
      Автор Rival
      Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).
      FRST.txt unity.zip Addition.txt
      decrypted_files.zip
    • Андрей Салтыков
      Вирус шифровальщик, помогите расшифровать файлы. Расширение QS4ZtPd2i
      Автор Андрей Салтыков
      Здравствуйте, зашифровали файлы.
      Our Telegram for decrypt - @limes853
      You can send some small test files to test our decryptor.
      You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar Сам шифровальщик intel.7z Отчет.rar
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • Sart
      Давнишнее заражение
      Автор Sart
      Приветствую
      Зашифровано давно, февраль 2023 г
      Человек открыл вложение "Информация должнику.exe" из письма
      Просто оставлю тут, вдруг когда-нибудь всплывёт расшифровка
      blackbit.rar
×
×
  • Создать...