Перейти к содержанию

Вымогальщик. Нужна помощь с расшифровкой.

VNDR
 Поделиться

Рекомендуемые сообщения

VNDR

VNDR

Опубликовано
Опубликовано

Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.

Файлы прикладываю.

Просим помощи!

HowToRestoreFiles.txt Новая папка (4).rar

safety

safety

Опубликовано
Опубликовано
12 часов назад, VNDR сказал:

Нужна помощь, бухгалтер скачала файл

+

Добавьте так же сообщение из почты, которое открыл бухгалтер.

Сообщение сохраните в файл в формате eml, файл добавьте в архив с паролем vius,  архив загрузите в ваше сообщение.

VNDR

VNDR

Опубликовано
  • Автор
Опубликовано
13 часов назад, safety сказал:

+

Добавьте так же сообщение из почты, которое открыл бухгалтер.

Сообщение сохраните в файл в формате eml, файл добавьте в архив с паролем vius,  архив загрузите в ваше сообщение.

 

Сообщение.rar

 

23 часа назад, thyrex сказал:

Здравствуйте.

 

Выполните Правила оформления запроса о помощи.

Логи прикрепите к следующему сообщению в текущей теме, не создавая новой темы.

 

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp
2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar
2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml
2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com
2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
REboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

VNDR

VNDR

Опубликовано
  • Автор
Опубликовано (изменено)
43 минуты назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан]
Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp
2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar
2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml
2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com
2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF
REboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

архив загружен, ссылка удалена

Fixlog.txt

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По файлам:

сообщение *.EML  уже детектируется, так как сдержит архив с вредоносом без пароля.

https://www.virustotal.com/gui/file/40f536d23d08b19de561608fc5fdbe05c3dd3ca8bf36e56494b7dacc3ef0cd9f?nocache=1

архивное вложение из *.EML, содержащее вредоносный файл с маскировкой под документ PDF (на самом деле имеет последнее расширение *com) детектируется:

https://www.virustotal.com/gui/file/ebdef6c402cbd2a7424a5a6dd30c08f67719c656bc28a1c8aa0edaf7823c5547

сам файл akt_sverki_1C_9856665_PDF.com из архивного вложения детектируется:

https://www.virustotal.com/gui/file/3f8ede55b8fbc733b47e0a61c1def8fbd59aafdf86572ce57300b819d4ef8f79/details

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Gighall
      Помощь с шифровальщиком .09yum1_p2k
      Автор Gighall
      Здравствуйте, у нас файлы зашифрованы в системе, с расширением "*09yum1_p2k", файлы прикрепляем, что требуется сделать в нашем случае? Прочитав форум, попытался вставить скрпит в программу FRST по очистке системы, результата не дало, понимаю что в правилах указано этого лучше не делать. Компьютер не можем ни перезагрузить, ни воспользоваться поиском, при попытке перезагрузки пишет - "Нет доступных вариантов управления электропитанием" . Единственное что при открытии зашифрованных файлов, теперь пишет "Не удаётся найти файл С:\temp\HowToRestoreFiles.txt. Вы хотите создать новый файл с таким именем?" Выкуп никакой не делали, есть ли вероятность вернуть файлы?
      HowToRestoreFiles.txt4.32 kB · 1 загрузка л6.jpg.zip716.07 kB · 1 загрузка
    • Comrade Steel
      Шифровальщик с расширением .ke2kbh3_p2k
      Автор Comrade Steel
      На почту поступило письмо, во вложении архив с файлом .bat
      После запуска документы (docx, xlsx и т.п., при этом, например, .rtf остались не задетыми), а также файлы изображений исчезли/заменены файлами в формате ".ke2kbh3_p2k", которые открываются как текстовый документ с информацией о краже данных и информацией для оплаты.
      Зашифровано большинство документов на внутреннем жестком диске, а также одна папка на сервере (вероятнее всего та, в которой велась работа).
      Проведено поверхностное сканирование при помощи KVRT, найден HEUR:Trojan.Multi.Ifeodeb.a - во избежание дальнейшего вмешательства пропущен.
      Судя по всему - при первом запуске вируса он отключил антивирус, а также закрыл заметную часть запущенных программ.
      virus.7z Addition.txt FRST.txt пример зашифрованных файлов + текстовка требований.7z
    • alex789z
      Помощь с шифровальщиком .09yum1_p2k
      Автор alex789z
      Добрый вечер! Поймали шифровальщик с окончанием .09yum1_p2k. Заплатили выкуп, прислали дешифратор, запустили он отработал, но случился какой-то сбой и расшифровалась только часть файлов, а именно то что было на флешке, а то что было на диске С так и осталось. Прикладываю сам дешифратор и файлы с диска С. Пожалуйста помогите с данной проблемой. 
      договора 2023г.zip договора с полигоном 2016.zip decryptor.zip
    • Андрей St
      Помогите пожалуйста. Все ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы.
      Автор Андрей St
      Здравствуйте!
       
      Помогите пожалуйста расшифровать файлы, сотрудник поймал вирус на рабочем компьютере, ничего не работает, на пк две винды, приходится заходить с рабочей, интернет отключен, каким то образом вирус снес еще и электронный почтовый ящик, пишет что логина не существует(((
       
      Надеюсь на вашу помощь. Спасибо.
       
       


      Virus.rar Virus текст.rar Addition.txt FRST.txt
    • Илья2007
      На синем экране ноутбука следующая надпись: Ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы...
      Автор Илья2007
      Сегодня, в процессе работы, появилось такое сообщение на экране ноутбука. Ничего особенного не делал, файлы, которые открывал из электронки, были связаны с работой (PDF файлы). Подтормаживать ноутбук стал еще пару дней назад, мне это показалось странным. Сегодня, перед появлением этого экрана, несколько раз появлялись маленькие окна с сообщениями об ошибках. Помогите, пожалуйста, решить данную проблему, ну или укажите путь, в каком направлении надо действовать.

×
×
  • Создать...