Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик .lsjx

SкаZочNик

Автор SкаZочNик
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

SкаZочNик

SкаZочNик

Опубликовано
Опубликовано

Здравствуйте!

Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx

Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..

Files.7z FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте так же этот настойчивый файл, в архиве, с паролем virus, + добавьте второй файл логоы FRST - Addition.txt

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Restriction ? <==== ATTENTION
2025-09-07 11:15 - 2025-09-07 23:04 - 000000000 ____D C:\Users\User\Desktop\masScan_1.6
2025-09-18 11:16 - 2025-09-18 11:13 - 000397824 _____ C:\Users\User\Desktop\45185400DDB72424C6B59F6EBB230948.exe
2025-09-07 11:13 - 2025-09-07 11:13 - 007987254 _____ C:\ProgramData\45185400DDB72424C6B59F6EBB230948.bmp
2025-09-07 11:12 - 2025-09-07 11:12 - 000000612 _____ C:\#HowToRecover.txt
2025-09-07 11:08 - 2025-09-07 11:12 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2025-09-07 11:07 - 2025-09-14 11:30 - 000041472 _____ C:\Windows\svchost.com
2025-09-07 11:06 - 2025-09-07 11:12 - 000000000 ____D C:\Users\User\Desktop\x64-Release
2025-09-07 02:34 - 2025-09-07 11:12 - 000000000 ____D C:\Program Files\RDP Wrapper
2025-09-07 02:34 - 2025-09-07 02:34 - 000037376 _____ (Microsoft Corporation) C:\Windows\System32\rfxvmt.dll
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
SкаZочNик

SкаZочNик

Опубликовано
  • Автор
Опубликовано

Файл в запароленном архиве добавил. Addition.txt не создался. FRST запускал из под восстановления системы. Если нужно, то могу попробовать запустить FRST в загруженной системе зараженного ПК.

45185400DDB72424C6B59F6EBB230948.7z

safety

safety

Опубликовано
Опубликовано (изменено)

по файлу: это Proton.

ESET-NOD32 A Variant Of Win64/Filecoder.Proton.A

Kaspersky Trojan.Win32.DelShad.ohu

DrWeb Trojan.Encoder.37448

https://www.virustotal.com/gui/file/35a9f1e3fe571a1b164d3febb8c53f2b7b6b62ea11a24c94c10de16e06851284

 

Перед очисткой в KRD заархивируйте с паролем virus данную папку: 

2025-09-07 11:06 - 2025-09-07 11:12 - 000000000 ____D C:\Users\User\Desktop\x64-Release

+

Сделайте, пожалуйста, проверку/очистку системы с помощью KRD, так как судя по логам FRST из среды восстановления система могла быть заражена дополнительно вирусом Neshta.

После завершения проверки, перегрузите систему в нормальный режим и сделайте новые  полные логи FRST.

Изменено пользователем safety
SкаZочNик

SкаZочNик

Опубликовано
  • Автор
Опубликовано
В 19.09.2025 в 10:43, safety сказал:

Перед очисткой в KRD заархивируйте с паролем virus данную папку: 

2025-09-07 11:06 - 2025-09-07 11:12 - 000000000 ____D C:\Users\User\Desktop\x64-Release

Файл во вложении

В 19.09.2025 в 10:43, safety сказал:

Сделайте, пожалуйста, проверку/очистку системы с помощью KRD, так как судя по логам FRST из среды восстановления система могла быть заражена дополнительно вирусом Neshta

Сделал. Действительно сидел вирус Neshta. На всякий случай сохранил лог и карантин. Нужно прикладывать?

В 19.09.2025 в 10:43, safety сказал:

После завершения проверки, перегрузите систему в нормальный режим и сделайте новые  полные логи FRST.

Файлы во вложении.

x64-Release.7z Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

просьба не цитировать. В этом нет необходимости, просто пишите свой ответ.

+

добавьте отчет о проверки из папки с KRD. в архиве, без пароля.

2025-09-21 02:19 - 2025-09-21 11:16 - 000000000 ____D C:\KRD2024_Data

 

сэмпл, который был запущен из папки x64-Release, действительно заражен Neshta,

ESET-NOD32 Win32/Neshta.A

DrWebWin32.HLLP.Neshta
Kaspersky Virus.Win32.Neshta.a

https://www.virustotal.com/gui/file/b590495f5819d947fdac45ba8198e59643d858055c4b482d9c54f9d7055447e5

 

и в первую очередь антивирусы реагтруют на него. Тот что был в автозапуске  - это уже файл шифровальщика.

---------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить". 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: reopening2025@gmail.com
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-09-20 20:51 - 2025-09-20 20:51 - 000403679 _____ C:\Users\User\Desktop\x64-Release.7z
2025-09-07 22:15 - 2025-09-21 10:59 - 000000000 ____D C:\Users\User\Desktop\masScan_1.6
2025-09-07 22:13 - 2025-09-07 22:13 - 007987254 _____ C:\ProgramData\45185400DDB72424C6B59F6EBB230948.bmp
2025-09-07 13:34 - 2025-09-21 02:32 - 000000000 ____D C:\Program Files\RDP Wrapper
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Антон.Б
      Поймал шифровальщика через RDP .r9Zw10Hg
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • Bek777
      компьютер-сервер 1С поймал шифровальщик
      Автор Bek777
      Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.
      FRST.rarHowToRecover.rar
    • Игорь11222
      Шифровальфик с расширением SYXmxcO8
      Автор Игорь11222
      Сегодня в ночь зашивровались некоторые файлы, кроме зашифрованных файлов и тектовых документов с требованиями ничего в системе не обнаружено. Файлы зашифровались не все, с 22:00 началось шифрование файлов, в 3:08 оно остановилось. Антивирус никакх угроз не обнаружил
      Addition.txt FRST.txt в.zip
    • lda
      Зашифровали компьютеры сети, похоже на Mimic
      Автор lda
      Доброй ночи! Зашифровали компьютеры сети, похоже на Mimic. На одном из компьютеров, откуда скорей всего производили запуск, нашел папочку mimic, ее прикладываю. Архив encrypted с зашифрованным файлами с этого же компа, dunay-ut - с компа из сети. Прошу оказать помощь в расшифровке. Заранее благодарен
      dunay-ut.rar Mimik.rar encrypted.rar
    • vadim.ku01
      Вирус шифровальщик и вымогатель
      Автор vadim.ku01
      Добрый день! Очень прошу Вашей помощи. Столкнулся с тем, что сотрудники поймали шифровальщика и уничтожили свой Пк. Плюс ко всему этому зацепили сетевой диск. Хотелось бы сетевой восстановить
      В сети про данного шифровальщика ничего нет, очень надеюсь найти помощь на данном форму, так как надежда ещё есть.
      Для примера прилагаю зашифрованный файл и сам текс вымогателей по ссылке на облаке
      И соответственно зашифрованный файл на облаке, так как тут данные файл не прицепишь : https://cloud .mail.ru/public/g9rB/dk6UQ8p8B
      Очень прошу помощи


      -----------------------------
      Good afternoon! I urgently need your help. My coworkers caught ransomware and destroyed their PC. On top of that, they also affected a network drive. I'd like to restore the network drive. There's nothing about this ransomware online, but I'm really hoping to find help on this forum, as there's still hope. As an example, I'm attaching an encrypted file and the ransomware's text via a link on the cloud. And, accordingly, the encrypted file is on the cloud, as you can't attach the file data here: https://cloud .mail.ru/public/g9rB/dk6UQ8p8B

      I urgently need your help.
      HowToRecover.txt
×
×
  • Создать...