Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

.LHYMPU

Александр Хан

Автор Александр Хан
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Хан

Александр Хан

Опубликовано
Опубликовано

Добрый день, словили шифровальщика, возможно ли помочь?Shortcut.txtFRST.txtНовая папка.zipAddition.txt

Во вложении 2 зашифрованных файла, 1 так же расшифровал злоумышленник (внутри)

2 вида запроса о выкупе

а так же логи

пароль на архив стандартный (virus)

safety

safety

Опубликовано
Опубликовано

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте логи и отчеты по сканированию, в архиве, без пароля.

Александр Хан

Александр Хан

Опубликовано
  • Автор
Опубликовано

Систему не сканировали, чтобы не повредить файлы

safety

safety

Опубликовано
Опубликовано

Первый файл был зашифрован в это время:

2025-09-13 09:23 - 2023-06-02 12:24 - 000000740 _____ C:\Users\Developer_vnedrenie\Desktop\1с очистка кеш.bat.[ID-6B92E985].[Telegram ID @kind_ad].LHYMPU

 

Проверьте, пожалуйста, какие исполняемые файлы были созданы в день шифрования до этого времени. 09:23

 

safety

safety

Опубликовано
Опубликовано

Ничего похожего на сэмпл шифровальщика нет, возможно был самоудален.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Developer_vnedrenie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан]
2025-09-13 10:02 - 2025-09-13 10:02 - 002764854 _____ C:\ProgramData\@kind_ad.bmp
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\IObit
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\Program Files (x86)\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Александр Хан

Александр Хан

Опубликовано
  • Автор
Опубликовано (изменено)

Шанса нет?

Fixlog.txt

Изменено пользователем Александр Хан
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Alekxei

Alekxei

Опубликовано
Опубликовано
В 16.09.2025 в 17:21, safety сказал:

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

В понедельник тоже попал под раздачу, из-за отсутствия лишних денежных средств пользовался сетью арендодателя. У них взломали защиту и зашифровали файлы. Но больше всех пострадал я, у меня все ещё в процессе проб запуска работы, а у арендодателя уже все торговые точки работают. А у меня зашифровали всё. 

  • safety закрыто и открыто это тема
safety

safety

Опубликовано
Опубликовано (изменено)
22 минуты назад, Alekxei сказал:

В понедельник тоже попал под раздачу,

@Alekxei.

Не пишите в чужой теме. Если необходима помощь в восстановлении работы, создайте отдельную тему в данном разделе, добавьте необходимые файлы и логи по правилам.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • R-r-r
      Шифровальщик (перебор rdp)
      Автор R-r-r
      схватил вчера, адрес brunobiden76@gmail.com  и brickscold6@gmail.com  FRST прогнал
      Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com].zip Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip Armguard.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt Addition.txt
    • АлександрЮ
      шифровальщик [ID-9A701949].[Telegram ID @kind_ad].LGJIID
      Автор АлександрЮ
      Систему переустановили ранее, предшественник оставил диск с зашифрованными файлами. Прошу помощи в определении и если получится расшифровке. Вложения - текстовик вируса и в архиве зашифрованные файлы \самого зловреда там нет, поэтому пароль на архив не ставил\
      #HOW-TO-RESTORE-YOUR-FILES.txt buh_Кундряк.rar
    • Gena1589
      Шифровальщик с расширением .BQPEKB семейства Phobos
      Автор Gena1589
      Добрый день
      Словили шифровальщика, зашифровал сервера, включая те которые  были по vpn туннелю, может кто сталкивался с ним? Оставил свой телеграмм, а не почту. Куда копать, чтобы понять с кого и с чего все началось? В одной из папок обнаружил батники, программы взломщика




    • Volos
      Поймали шифровальщик, пострадали 3 компьютера
      Автор Volos
      Зашифрованы файлы на трех компьютерах. Одна из машин теперь не запускается, была запущена полная проверка Касперским. Обнаружены два вредоносных файла (приложил фото).
      Запустил сканирование FRST на другой машине, которая запускается (логи и файлы с требованиями приложил)

       
      файлы.zip Addition.txt FRST.txt
    • s.vetoshkin
      Здравствуйте. Шифровальщик зашифровал файлы помогите пожалуйста расшифровать
      Автор s.vetoshkin
      infected!!!.zip
      Сообщение от модератора thyrex Перенесено в раздел по шифровальщикам
×
×
  • Создать...