Перейти к содержанию

Шифровальщик

fastheel
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы  добавьте, пожалуйста, в один архив с паролем virus:

2025-08-19 09:30 - 2025-08-19 09:30 - 000145005 _____ C:\Users\Администратор\Documents\update.zip

2025-08-16 16:34 - 2025-08-16 16:34 - 000146944 _____ C:\Users\Администратор\Documents\update.exe

Добавьте архив в ваше сообщение.

 

покажите что в этих папках:

2025-08-19 09:29 - 2025-08-19 09:29 - 000000000 ____D C:\Users\Администратор\Documents\update

2025-08-19 11:42 - 2025-08-19 11:42 - 000000000 ____D C:\Users\Администратор\Documents\update1

 

Если систему сканировали KVRT или Cureit (судя по логам FRST) добавьте логи сканирования в архиве без пароля.

 

PRO32 установили после шифрования, или на момент шифрования был установлен?

PRO32 Endpoint Security (HKLM-x32\...\{E96E7EF3-8193-425A-94D2-5F46F82EDB01}) (Version: 4.4.0.20 - K7 Computing Pvt Ltd)

 

Изменено пользователем safety
fastheel

fastheel

Опубликовано
  • Автор
Опубликовано

pro 32 был до но не работал уже давно

в папках я пытался декомпилировать exe
пароль на архив virus

Documents.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по детекту на VT это Lockbit V3 Black:

ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K

https://www.virustotal.com/gui/file/1b3e5489e8694c102fd4483462127089d6586aadd5afe7a25de9c8659326cb37/detection

Сэмпл защищен паролем.

update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7

Пароль можно снять. Пароль правильный:

Цитата

 

ecryption id: "A9476DD5A1688B8D"

ransom ext: ".u4IHZAluh"
ransom note name: "u4IHZAluh.README.txt"

"note": "\r\n            \r\n\t\t\t\t\t\t~~~~~~~~ RANSOMHub ~~~~~~~~\r\n\r\n>>>> What happened? \r\n\r\n\tYour data - NAS, ESXi, HyperV, mailboxes,

 

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FreakaFree
      Шифровальщик .8PbsCcHuo
      Автор FreakaFree
      Добрый день! Словили шифровальщик с расширением .8PbsCcHuo
      Все файлы зашифровало, есть возможность расшифровать?
    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n

      Шифрует абсолютно все файлы, включая .exe бэкапы и БД

       
       
      kRvWxoD5n.README.txt файлы пример.7z Addition.txt FRST.txt
    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
×
×
  • Создать...