Перейти к содержанию
Интервью с экспертом: задай вопрос Дмитрию Романову, старшему менеджеру по продукту PetKa

Вирус шифровальщик [reopening2025@gmail.com].lsjx

ToRaMoSoV
 Поделиться

Рекомендуемые сообщения

ToRaMoSoV

ToRaMoSoV

Опубликовано
Опубликовано

Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)IMG_20250921_133349_700.thumb.jpg.1114eb7d522d58b198483b908836693d.jpg

l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject

 

ID: A6D959082E20B73AC6B59F6EBB230948

 

Email 1: reopening2025@gmail.com Telegram: @Rdp21

 

To ensure decryption you can send 1-2 files less than 1MB we will de

 

We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.

 

IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

20250921_132156.jpg

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано (изменено)
В 22.09.2025 в 00:31, thyrex сказал:

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите всё необходимое к следующему сообщению в текущей теме.

Извиняюсь, писал тему на горячую голову. Компьютер был заражён путем подбора логина и пароля к rdp. Злоумышленник отключил вручную касперский премиум, а также виндовс дефендер. После запуска вируса были зашифрованны все файлы(кроме 1 диска), также в каждой папке была записка (текст указан выше). Вчера попробовал найти exe файл в логах винды, а также попробовал восстановить удалённые файлы, однако ничего не нашёл. К сожалению, поскольку этот компьютер был единственным я не могу создать архив с приложеннными файлами, однако могу дать ссылку на яндекс диск. P.s. компьютер очистил от вируса путем загрузки с аварийного диска касперского

 

Изменено пользователем ToRaMoSoV
safety

safety

Опубликовано
Опубликовано

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано
32 минуты назад, safety сказал:

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

Вот, попросил друга закинуть файлы в архив. Сам вирус я не нашёл, но чую что он есть

файлы.rar

safety

safety

Опубликовано
Опубликовано

Если систему почистили с помощью KRD, то теперь ее можно загрузить в нормальный режим, и сделать логи FRST.

Может найдутся еще "недостающие запчасти" от вируса.

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Правильно ли я понимаю, что в этом файле будет сам шифратор?

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано (изменено)

https://disk.yandex.ru/d/oTLEw6NdJJHwVA

 

Архив получился больше 5мб, поэтому прикладываю ссылку на яндекс диск.

 

Fixlog.txt

 

Изменено пользователем safety
здесь не надо публиковать информацию о переговорах со злоумышленниками
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User_2026
      Вирус-шифровщик
      Автор User_2026
      Компьютер заражен шифровщиком. В каждой папке все файлы заменены на *.Vc8wZJlb и рядом текстовый файл RestoreFiles.txt. Помогите определить какой шифровщик.
      Пример зашифрованного файла и RestoreFiles.txt прикрепил.
      test.zip
    • rues247
      Проникли через RDP и зашифровали файлы.
      Автор rues247
      Проникли через RDP и зашифровали файлы с расширением *.JglTOGt2. Есть шанс расшифровать?
      HowToRecover.txt Addition.txt FRST.txt Shortcut.txt файлы.7z
    • Alexey Kalkin
      шифровальщик Trojan.Encoder.37448
      Автор Alexey Kalkin
      Здравствуйте.
      Слишком поздно попал в руки системный блок в котором отработал Trojan.Encoder.37448.
      Нужна помощь в расшифровке. Несколько файлов в архиве.
       data.zip
    • Oleg2002
      Зашифровали файлы, формат файла npz234, как можно попробовать расшифровать?
      Автор Oleg2002
      День добрый! Нужна помощь по расшифровке файлов npz234, какие способы есть?
    • Madser
      Поймал шифровальщик, помогите
      Автор Madser
      Добрый день. Вчера или позовчера словил вирус шифровальщик 
      Вот текст записки 
       
      Warning: Your files have been stolen and encrypted.
      If you want your files back, contact us at the email addresses shown below:
      Email: joedecryption@gmail.com
      Telegram: @joedecryption
      # In subject line please write your personal ID
      ID: 0CC4841421D393CDA0B009A916A4DAD3

      Warning: You will receive a discount if you contact us within 24 hours of decryption - Strictly try to avoid scam brokers or decryption companies, as they will only waste your money.
      Check Your Spam Folder: After sending your emails, please check your spam/junk folder
      regularly to ensure you do not miss our response.
      No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
      please create a new, valid email address (e.g., from Gmail, Outlook, etc.)
      and send your message again using the new email address.
      P.S : No one but us has the ability to decrypt your files.
       
       
×
×
  • Создать...