Перейти к содержанию

.LHYMPU

Александр Хан

Автор Александр Хан
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Хан

Александр Хан

Опубликовано
Опубликовано

Добрый день, словили шифровальщика, возможно ли помочь?Shortcut.txtFRST.txtНовая папка.zipAddition.txt

Во вложении 2 зашифрованных файла, 1 так же расшифровал злоумышленник (внутри)

2 вида запроса о выкупе

а так же логи

пароль на архив стандартный (virus)

safety

safety

Опубликовано
Опубликовано

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте логи и отчеты по сканированию, в архиве, без пароля.

Александр Хан

Александр Хан

Опубликовано
  • Автор
Опубликовано

Систему не сканировали, чтобы не повредить файлы

safety

safety

Опубликовано
Опубликовано

Первый файл был зашифрован в это время:

2025-09-13 09:23 - 2023-06-02 12:24 - 000000740 _____ C:\Users\Developer_vnedrenie\Desktop\1с очистка кеш.bat.[ID-6B92E985].[Telegram ID @kind_ad].LHYMPU

 

Проверьте, пожалуйста, какие исполняемые файлы были созданы в день шифрования до этого времени. 09:23

 

safety

safety

Опубликовано
Опубликовано

Ничего похожего на сэмпл шифровальщика нет, возможно был самоудален.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Developer_vnedrenie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан]
2025-09-13 10:02 - 2025-09-13 10:02 - 002764854 _____ C:\ProgramData\@kind_ad.bmp
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\IObit
2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\Program Files (x86)\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Александр Хан

Александр Хан

Опубликовано
  • Автор
Опубликовано (изменено)

Шанса нет?

Fixlog.txt

Изменено пользователем Александр Хан
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Alekxei

Alekxei

Опубликовано
Опубликовано
В 16.09.2025 в 17:21, safety сказал:

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

В понедельник тоже попал под раздачу, из-за отсутствия лишних денежных средств пользовался сетью арендодателя. У них взломали защиту и зашифровали файлы. Но больше всех пострадал я, у меня все ещё в процессе проб запуска работы, а у арендодателя уже все торговые точки работают. А у меня зашифровали всё. 

  • safety закрыто и открыто это тема
safety

safety

Опубликовано
Опубликовано (изменено)
22 минуты назад, Alekxei сказал:

В понедельник тоже попал под раздачу,

@Alekxei.

Не пишите в чужой теме. Если необходима помощь в восстановлении работы, создайте отдельную тему в данном разделе, добавьте необходимые файлы и логи по правилам.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Констатин
      Вирус шифровальщик troyan.encoder.35209
      Автор Констатин
      Нужна помощь с расшифровкой файлов
      Addition.txt FRST.txt
    • Orbeatt
      Делюсь деширатором Sauron или Trojan.Encoder.35209. Может поможет комуто.
      Автор Orbeatt
      Ранее писал, поймали шифратор.
      Получили от злоумышленников дешифратор, делюсь с вами, может кому то поможет не платить деньги как мы.
       
      [ID-E5DAFA5D].zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • Warlocktv
      Ransomware Phobos
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
×
×
  • Создать...