Перейти к содержанию

Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile

Владимир Д.

Автор Владимир Д.
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владимир Д.

Владимир Д.

Опубликовано
Опубликовано

В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.

Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.

 

Изображение WhatsApp 2025-08-11.jpg

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Лог Addition.txt так же необходим для анализа.

Если данный лог отсутствует:

судя по логу FRST есть подозрение, что система может быть заражена вирусом Neshta,

2025-07-14 01:50 - 2025-07-14 01:50 - 000041472 _____ C:\Windows\svchost.com

Выполните проверку системы с помощью загрузочного диска KRD

 

после проверки создайте новые логи FRST из нормального режима.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Владимир Д.

Владимир Д.

Опубликовано
  • Автор
Опубликовано

Выбрать Addition.txt нет возможности. Выполнил проверку системы с помощью KRD, было обнаружено около 1500 файлов зараженных Neshta.

 

Создал новые логи FRST по прежнему из среды восстановления Windows, так как нормальная загрузка ОС и вход в учетные записи не доступны.

IMG_3996.JPEG

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу (возможно) c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
Task: {F240A929-3203-4A13-9176-8FEA9E535351} - \Optimize Start Menu Cache Files-S-1-5-21-2331083727-2912664457-2249245929-1001 -> No File <==== ATTENTION
S2 YandexBrowserService; C:\Program Files (x86)\Yandex\YandexBrowser\24.10.4.931\service_update.exe [3097760 2025-05-06] (YANDEX LLC -> YANDEX LLC)
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 GoogleChromeElevationService; "C:\Program Files (x86)\Google\Chrome\Application\109.0.5414.168\elevation_service.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\109.0.1518.140\elevation_service.exe" [X]
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
2025-07-14 01:55 - 2025-07-14 01:55 - 007987254 _____ C:\ProgramData\F10A904EF64FCAC82969869C00B2A333.bmp
2025-07-14 01:55 - 2025-07-14 01:55 - 000000040 ____H C:\2C5CF5F2479E
2025-07-14 01:50 - 2025-07-14 01:54 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2025-07-14 01:48 - 2025-07-16 19:42 - 000000000 ____D C:\Users\Администратор\Desktop\x64-Release
2025-07-14 01:54 - 2017-11-10 18:27 - 000000000 ____D C:\Program Files\Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
Владимир Д.

Владимир Д.

Опубликовано
  • Автор
Опубликовано

В среде восстановления Windows есть только командная строка и проводник. Запустить там браузер нет возможности, к тому же KRD все вылечил и больше ни чего не находит. Тут стоит вопрос о возможности дешифровки файлов.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа. Возможно восстановление данных только с бэкапов.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
×
×
  • Создать...