voidcrypt Шифровальщик. Предположительно из семейства Dharma/Crysis

23 августа

Доброго дня.

Коснулась напасть сия.

Шифровщика по окончанию злодеяния нет.

Во вложении:

1. Логи FRST

2. Результат проверки KVRT

3. Пример зашифрованных файлов + KEY файл и письмо Decryption

Спасибо заранее за уделенное время.

crypt.rar FRST.rar KVRT2020_Data.rar

23 августа

Шифрование точно на этом устройстве было? следов шифрования нет. Нет записки, нет зашифрованных файлов в каталогах.

Логи FRST надо передлать от имени Администратора.

Запущено с помощью dolgikh.a.i (ВНИМАНИЕ: Пользователь не является Администратором) на PC-41 (Gigabyte Technology Co., Ltd. H87-D3H) (22-08-2025 15:38:02)

23 августа

Переделанные файлы.

crypt.rar FRST.rar KVRT2020_Data.rar

23 августа

Здесь есть шифрование.

Проверьте ЛС.

Изменено 23 августа пользователем safety

23 августа

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

HKLM-x32\...\Run: [] => [X]
HKLM\...\RunOnce: [39e74cf6-55fa-4ef5-8891-52b7d423d803] => "C:\Users\logout\AppData\Local\Temp\{c343837d-a2f4-4073-83b8-bc371587bb2a}\39e74cf6-55fa-4ef5-8891-52b7d423d803.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [fd2222d5-356a-4c71-8488-12a615617cf9] => "C:\Users\logout\AppData\Local\Temp\{cabda475-14dc-4a60-a390-5d9dbd8848c2}\fd2222d5-356a-4c71-8488-12a615617cf9.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [06657843-f143-4718-8ab0-d72327c12f3f] => "C:\Users\logout\AppData\Local\Temp\{25b928a8-f41e-4f3a-b0e2-73a6725a843a}\06657843-f143-4718-8ab0-d72327c12f3f.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [f406c3d8-1b49-48a5-856f-68cc6d91e24f] => "C:\Users\logout\AppData\Local\Temp\{588f5803-fecf-4cf0-b768-c1548b36d3d2}\f406c3d8-1b49-48a5-856f-68cc6d91e24f.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [ed11e0b7-12fd-4d64-8c57-52c0655bf5db] => "C:\Users\logout\AppData\Local\Temp\{aa4d5a3e-d028-461a-8a0b-e1c2647c20a3}\ed11e0b7-12fd-4d64-8c57-52c0655bf5db.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [6e0a54ee-1056-4236-939c-e2c090a9c082] => "C:\Users\logout\AppData\Local\Temp\{15c0d5a5-7a0d-48d0-9ed5-97bbba1573ee}\6e0a54ee-1056-4236-939c-e2c090a9c082.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {44BB9BAB-DAB1-47FC-B21B-9FBB2D7D6897} - System32\Tasks\DuJlWwvV => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C powershell.exe -noni -nop -w 1 -enc IABjAC4AZQB4AGUAIAAtAGYAdQBsAGwAaQBuAHMAdABhAGwAbAA= > \Windows\Temp\tvOuZI 2>&1 <==== ВНИМАНИЕ
Task: {FFCF7671-8203-4365-82CB-A21FD88F4D68} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {63F8B78C-978E-4C0B-805D-4421EDDF56DB} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {BF32F856-2799-45CE-9044-866C666919E8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {76667198-4A30-4B9A-AA44-0B6B48BEAF56} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {B940DB65-16D4-4BDC-9918-A3D415B83E16} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {CC2228A3-19A5-4366-A828-5E40E3E9467F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {2521FB41-73E2-4A3E-8F54-50BC95489C7D} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1945624045-1199837794-592266151-1104 => C:\Users\logout\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe  /startInstances (Нет файла)
Task: {AF025E4C-7165-43BE-980B-D1237E5BEB78} - System32\Tasks\WymQbhCl => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C c.exe -fullinstall > \Windows\Temp\CKnGAJ 2>&1 <==== ВНИМАНИЕ
2025-08-22 14:19 - 2025-08-22 14:22 - 000000000 ____D C:\Users\logout\Desktop\1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

voidcrypt Шифровальщик. Предположительно из семейства Dharma/Crysis

Рекомендуемые сообщения

copypaste

safety

copypaste

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum