Перейти к содержанию

.LHYMPU

Александр Хан

Автор Александр Хан
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Хан

Александр Хан

Опубликовано
Опубликовано

Добрый день, словили шифровальщика, возможно ли помочь?Shortcut.txtFRST.txtНовая папка.zipAddition.txt

Во вложении 2 зашифрованных файла, 1 так же расшифровал злоумышленник (внутри)

2 вида запроса о выкупе

а так же логи

пароль на архив стандартный (virus)

safety

safety

Опубликовано
Опубликовано

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте логи и отчеты по сканированию, в архиве, без пароля.

Александр Хан

Александр Хан

Опубликовано
  • Автор
Опубликовано

Систему не сканировали, чтобы не повредить файлы

safety

safety

Опубликовано
Опубликовано

Первый файл был зашифрован в это время:

2025-09-13 09:23 - 2023-06-02 12:24 - 000000740 _____ C:\Users\Developer_vnedrenie\Desktop\1с очистка кеш.bat.[ID-6B92E985].[Telegram ID @kind_ad].LHYMPU

 

Проверьте, пожалуйста, какие исполняемые файлы были созданы в день шифрования до этого времени. 09:23

 

safety

safety

Опубликовано
Опубликовано

Ничего похожего на сэмпл шифровальщика нет, возможно был самоудален.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Developer_vnedrenie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан]
2025-09-13 10:02 - 2025-09-13 10:02 - 002764854 _____ C:\ProgramData\@kind_ad.bmp
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\IObit
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\Program Files (x86)\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Александр Хан

Александр Хан

Опубликовано
  • Автор
Опубликовано (изменено)

Шанса нет?

Fixlog.txt

Изменено пользователем Александр Хан
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...