proton Вирус шифровальщик [reopening2025@gmail.com].lsjx

[ToRaMoSoV]

Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)

l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject

 

ID: A6D959082E20B73AC6B59F6EBB230948

 

Email 1: reopening2025@gmail.com Telegram: @Rdp21

 

To ensure decryption you can send 1-2 files less than 1MB we will de

 

We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.

 

IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

[thyrex]

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите всё необходимое к следующему сообщению в текущей теме.

[ToRaMoSoV]

В 22.09.2025 в 00:31, thyrex сказал:

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите всё необходимое к следующему сообщению в текущей теме.

Извиняюсь, писал тему на горячую голову. Компьютер был заражён путем подбора логина и пароля к rdp. Злоумышленник отключил вручную касперский премиум, а также виндовс дефендер. После запуска вируса были зашифрованны все файлы(кроме 1 диска), также в каждой папке была записка (текст указан выше). Вчера попробовал найти exe файл в логах винды, а также попробовал восстановить удалённые файлы, однако ничего не нашёл. К сожалению, поскольку этот компьютер был единственным я не могу создать архив с приложеннными файлами, однако могу дать ссылку на яндекс диск. P.s. компьютер очистил от вируса путем загрузки с аварийного диска касперского

 

Изменено 23 сентября, 2025 пользователем ToRaMoSoV

[safety]

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

[ToRaMoSoV]

32 минуты назад, safety сказал:

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

Вот, попросил друга закинуть файлы в архив. Сам вирус я не нашёл, но чую что он есть

файлы.rar

[safety]

Если систему почистили с помощью KRD, то теперь ее можно загрузить в нормальный режим, и сделать логи FRST.

Может найдутся еще "недостающие запчасти" от вируса.

[ToRaMoSoV]

Провел сканирование, вот 2 файла

FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[ToRaMoSoV]

5 минут назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Правильно ли я понимаю, что в этом файле будет сам шифратор?

[safety]

Посмотрим, что попадет в карантин.

[ToRaMoSoV]

https://disk.yandex.ru/d/oTLEw6NdJJHwVA

 

Архив получился больше 5мб, поэтому прикладываю ссылку на яндекс диск.

 

Fixlog.txt

 

Изменено 23 сентября, 2025 пользователем safety
здесь не надо публиковать информацию о переговорах со злоумышленниками

[safety]

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);