Перейти к содержанию

Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile

Владимир Д.
 Поделиться

Рекомендуемые сообщения

Владимир Д.

Владимир Д.

Опубликовано
Опубликовано

В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.

Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.

 

Изображение WhatsApp 2025-08-11.jpg

FRST.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Лог Addition.txt так же необходим для анализа.

Если данный лог отсутствует:

судя по логу FRST есть подозрение, что система может быть заражена вирусом Neshta,

2025-07-14 01:50 - 2025-07-14 01:50 - 000041472 _____ C:\Windows\svchost.com

Выполните проверку системы с помощью загрузочного диска KRD

 

после проверки создайте новые логи FRST из нормального режима.

 

 

Изменено пользователем safety
Владимир Д.

Владимир Д.

Опубликовано
  • Автор
Опубликовано

Выбрать Addition.txt нет возможности. Выполнил проверку системы с помощью KRD, было обнаружено около 1500 файлов зараженных Neshta.

 

Создал новые логи FRST по прежнему из среды восстановления Windows, так как нормальная загрузка ОС и вход в учетные записи не доступны.

IMG_3996.JPEG

FRST.txt

safety

safety

Опубликовано
Опубликовано

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу (возможно) c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
Task: {F240A929-3203-4A13-9176-8FEA9E535351} - \Optimize Start Menu Cache Files-S-1-5-21-2331083727-2912664457-2249245929-1001 -> No File <==== ATTENTION
S2 YandexBrowserService; C:\Program Files (x86)\Yandex\YandexBrowser\24.10.4.931\service_update.exe [3097760 2025-05-06] (YANDEX LLC -> YANDEX LLC)
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 GoogleChromeElevationService; "C:\Program Files (x86)\Google\Chrome\Application\109.0.5414.168\elevation_service.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\109.0.1518.140\elevation_service.exe" [X]
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
2025-07-14 01:55 - 2025-07-14 01:55 - 007987254 _____ C:\ProgramData\F10A904EF64FCAC82969869C00B2A333.bmp
2025-07-14 01:55 - 2025-07-14 01:55 - 000000040 ____H C:\2C5CF5F2479E
2025-07-14 01:50 - 2025-07-14 01:54 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2025-07-14 01:48 - 2025-07-16 19:42 - 000000000 ____D C:\Users\Администратор\Desktop\x64-Release
2025-07-14 01:54 - 2017-11-10 18:27 - 000000000 ____D C:\Program Files\Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Владимир Д.

Владимир Д.

Опубликовано
  • Автор
Опубликовано

В среде восстановления Windows есть только командная строка и проводник. Запустить там браузер нет возможности, к тому же KRD все вылечил и больше ни чего не находит. Тут стоит вопрос о возможности дешифровки файлов.

safety

safety

Опубликовано
Опубликовано

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа. Возможно восстановление данных только с бэкапов.

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LekTr
      Вирус-шифровальщик " etenotra@onionmail.org". Расширение .OrpzB7nM
      Автор LekTr
      Добрый день. Прошу помочь с расшифровкой файлов после вируса-шифровальщика. Проник через удаленный рабочий стол. 
      Система была переустановлена т.к. перестала работать, восстановить не удалось. Расшифровщики все возможные в интернете перебрал, не подходят.
      Данные из файла о выкупе: 
       
      Зашифрованные файлы и файл о выкупе прикладываю. Пароль: virus
       
      Зашифрованные файлы.rar Addition.txt FRST.txt
    • Zero69
      Файлы заблокировал вирус-шифровальщик .dbx5
      Автор Zero69
      Добрый день!
       
      Столкнулись с проблемой шифровки всех файлов на ПК. 
      Системные файлы не затронуты - только пользовательские.
      Пробовал расшифровать на сайте nomoreransom.org, но безуспешно.
      Снять логи с ПК сейчас не возможно, в архив приложил 2 зашифрованных файла и txt файл с требованием выкупа.
      virus.zip
    • ToRaMoSoV
      Вирус шифровальщик [reopening2025@gmail.com].lsjx
      Автор ToRaMoSoV
      Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)
      l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject
       
      ID: A6D959082E20B73AC6B59F6EBB230948
       
      Email 1: reopening2025@gmail.com Telegram: @Rdp21
       
      To ensure decryption you can send 1-2 files less than 1MB we will de
       
      We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.
       
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

    • SкаZочNик
      Шифровальщик .lsjx
      Автор SкаZочNик
      Здравствуйте!
      Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx
      Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..
      Files.7z FRST.txt
    • dma164
      Вирус-шифровальщик
      Автор dma164
      Здравствуйте!
      Путем взлома RDP были зашифрованы файлы на машине, а также на доступных ей сетевых дисках, получили расширение .lsjx. При этом на машине был удален KES через KAVRemover, установлены приложения для сканирования портов.
      После проверки CureIT было найдено множество файлов, зараженных вирусом Neshta. В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме . Лог CureIT 11 Мб- не прикладывается

      FRST.txt файлы.zip
×
×
  • Создать...