Перейти к содержанию

Вирус-шифровальщик

dma164
 Поделиться

Рекомендуемые сообщения

dma164

dma164

Опубликовано
Опубликовано

Здравствуйте!

Путем взлома RDP были зашифрованы файлы на машине, а также на доступных ей сетевых дисках, получили расширение .lsjx. При этом на машине был удален KES через KAVRemover, установлены приложения для сканирования портов.

После проверки CureIT было найдено множество файлов, зараженных вирусом Neshta. В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме . Лог CureIT 11 Мб- не прикладывается

photo_2025-09-17_15-44-53.jpg

FRST.txt файлы.zip

safety

safety

Опубликовано
Опубликовано
12 минут назад, dma164 сказал:

Лог CureIT 11 Мб- не прикладывается

Добавьте в архив без пароля. Архив добавьте в ваше сообщение. Если по размеру не пройдет, тогда загрузите на облачный диск и дайте ссылку на скачивание здесь.

safety

safety

Опубликовано
Опубликовано (изменено)

Это один из приемов злоумышленников, когда используют зараженный Neshta сэмпл шифровальщика.

От Neshta пролечили систему? есть новые детекты после очистки в Cureit? Cureit имеет смысл загрузить заново, чтобы не было его заражения. По хорошему Neshta надо лечить из под загрузочного диска. Например KRD.

После очистки в KRD сделать новые логи FRST.

1 час назад, dma164 сказал:

В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме

Этот файл добавьте в архив с паролем virus и загрузите в ваше собщение.

Изменено пользователем safety
dma164

dma164

Опубликовано
  • Автор
Опубликовано

CA6E91E163871D19C6B59F6EBB230948.zip

11 минут назад, safety сказал:

От Neshta пролечили систему? есть новые детекты после очистки в Cureit? Cureit имеет смысл загрузить заново, чтобы не было его заражения. По хорошему Neshta надо лечить из под загрузочного диска. Например KRD.

После очистки в KRD сделать новые логи FRST.

Этот файл добавьте в архив с паролем virus и загрузите в ваше собщение.

Да, пролечил

dma164

dma164

Опубликовано
  • Автор
Опубликовано
1 минуту назад, safety сказал:

Addition.txt так же нужен для проверки.

А почему он не создался (запускал в режиме восстановления)?

safety

safety

Опубликовано
Опубликовано (изменено)

понятно, там он не создается.

 

скрипт очистки сейчас добавлю

 

судя по детектам на VT  - это Proton.

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/35a9f1e3fe571a1b164d3febb8c53f2b7b6b62ea11a24c94c10de16e06851284?nocache=1

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Task: {1063B4E0-300E-41AE-86C2-B9B06AA3046A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {267191B8-4F26-4405-9126-3AE3D8A69630} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {31E49B13-993F-40BD-868B-97454EC1A383} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {5FE0A392-6F47-4796-882D-2CDF124837BF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {734D638B-C112-4456-8941-1CA2E8323B13} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {9B83411E-8FE8-4930-B4D4-BEE7DF42FD5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A67B1122-5D42-4439-BC87-407E0A2FB3D5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {B4BFA7C7-C002-41B2-8C8A-D8EE6BADA06F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {F3C44DDA-BCCA-479B-AC6C-4B46BB85F5A0} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
2025-09-17 04:09 - 2025-09-17 10:58 - 004032486 _____ C:\ProgramData\CA6E91E163871D19C6B59F6EBB230948.bmp
2025-09-17 03:02 - 2025-09-17 03:02 - 000000612 _____ C:\#HowToRecover.txt
2025-09-17 02:36 - 2024-08-24 06:28 - 020386224 _____ (Famatech Corp. ) C:\Users\1\Desktop\Advanced_Port_Scanner_2.5.3869.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

+

Проверьте ЛС.

Изменено пользователем safety
dma164

dma164

Опубликовано
  • Автор
Опубликовано
14 минут назад, safety сказал:

понятно, там он не создается.

 

скрипт очистки сейчас добавлю

 

судя по детектам на VT  - это Proton.

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

https://www.virustotal.com/gui/file/35a9f1e3fe571a1b164d3febb8c53f2b7b6b62ea11a24c94c10de16e06851284?nocache=1

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Task: {1063B4E0-300E-41AE-86C2-B9B06AA3046A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {267191B8-4F26-4405-9126-3AE3D8A69630} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {31E49B13-993F-40BD-868B-97454EC1A383} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {5FE0A392-6F47-4796-882D-2CDF124837BF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {734D638B-C112-4456-8941-1CA2E8323B13} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {9B83411E-8FE8-4930-B4D4-BEE7DF42FD5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A67B1122-5D42-4439-BC87-407E0A2FB3D5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {B4BFA7C7-C002-41B2-8C8A-D8EE6BADA06F} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {F3C44DDA-BCCA-479B-AC6C-4B46BB85F5A0} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
2025-09-17 04:09 - 2025-09-17 10:58 - 004032486 _____ C:\ProgramData\CA6E91E163871D19C6B59F6EBB230948.bmp
2025-09-17 03:02 - 2025-09-17 03:02 - 000000612 _____ C:\#HowToRecover.txt
2025-09-17 02:36 - 2024-08-24 06:28 - 020386224 _____ (Famatech Corp. ) C:\Users\1\Desktop\Advanced_Port_Scanner_2.5.3869.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

+

Проверьте ЛС.

Делать в режиме восстановления или  напрямую?

safety

safety

Опубликовано
Опубликовано

Скрипт очистки имеете ввиду? Можно в нормальном режиме, в автозапуске нет сэмпла шифрования.

safety

safety

Опубликовано
Опубликовано (изменено)

Эти программы были установлены злоумышленниками, их надо деинсталлировать.

 

Advanced Port Scanner 2.5,Famatech,17.09.2025 03:38:17,2.5.3869

Wise Force Deleter,"Lespeed Technology Co., Ltd.",17.09.2025 03:28:35,1.5.5

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LekTr
      Вирус-шифровальщик " etenotra@onionmail.org". Расширение .OrpzB7nM
      Автор LekTr
      Добрый день. Прошу помочь с расшифровкой файлов после вируса-шифровальщика. Проник через удаленный рабочий стол. 
      Система была переустановлена т.к. перестала работать, восстановить не удалось. Расшифровщики все возможные в интернете перебрал, не подходят.
      Данные из файла о выкупе: 
       
      Зашифрованные файлы и файл о выкупе прикладываю. Пароль: virus
       
      Зашифрованные файлы.rar Addition.txt FRST.txt
    • Zero69
      Файлы заблокировал вирус-шифровальщик .dbx5
      Автор Zero69
      Добрый день!
       
      Столкнулись с проблемой шифровки всех файлов на ПК. 
      Системные файлы не затронуты - только пользовательские.
      Пробовал расшифровать на сайте nomoreransom.org, но безуспешно.
      Снять логи с ПК сейчас не возможно, в архив приложил 2 зашифрованных файла и txt файл с требованием выкупа.
      virus.zip
    • ToRaMoSoV
      Вирус шифровальщик [reopening2025@gmail.com].lsjx
      Автор ToRaMoSoV
      Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)
      l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject
       
      ID: A6D959082E20B73AC6B59F6EBB230948
       
      Email 1: reopening2025@gmail.com Telegram: @Rdp21
       
      To ensure decryption you can send 1-2 files less than 1MB we will de
       
      We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.
       
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

    • SкаZочNик
      Шифровальщик .lsjx
      Автор SкаZочNик
      Здравствуйте!
      Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx
      Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..
      Files.7z FRST.txt
    • Alex19863332
      Шифровальщик .de7
      Автор Alex19863332
      Добрый день! Поймали точно такой же вирус. Помогите) 🙏 Shadow Explorer-не помог( просто Desktop.7zпустое окно, как будь-то нет ни одного файла)
      Addition.txt FRST.txt
×
×
  • Создать...