Перейти к содержанию

Вирус шифровальщик [reopening2025@gmail.com].lsjx

ToRaMoSoV
 Поделиться

Рекомендуемые сообщения

ToRaMoSoV

ToRaMoSoV

Опубликовано
Опубликовано

Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)IMG_20250921_133349_700.thumb.jpg.1114eb7d522d58b198483b908836693d.jpg

l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject

 

ID: A6D959082E20B73AC6B59F6EBB230948

 

Email 1: reopening2025@gmail.com Telegram: @Rdp21

 

To ensure decryption you can send 1-2 files less than 1MB we will de

 

We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.

 

IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

20250921_132156.jpg

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано (изменено)
В 22.09.2025 в 00:31, thyrex сказал:

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите всё необходимое к следующему сообщению в текущей теме.

Извиняюсь, писал тему на горячую голову. Компьютер был заражён путем подбора логина и пароля к rdp. Злоумышленник отключил вручную касперский премиум, а также виндовс дефендер. После запуска вируса были зашифрованны все файлы(кроме 1 диска), также в каждой папке была записка (текст указан выше). Вчера попробовал найти exe файл в логах винды, а также попробовал восстановить удалённые файлы, однако ничего не нашёл. К сожалению, поскольку этот компьютер был единственным я не могу создать архив с приложеннными файлами, однако могу дать ссылку на яндекс диск. P.s. компьютер очистил от вируса путем загрузки с аварийного диска касперского

 

Изменено пользователем ToRaMoSoV
safety

safety

Опубликовано
Опубликовано

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано
32 минуты назад, safety сказал:

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

Вот, попросил друга закинуть файлы в архив. Сам вирус я не нашёл, но чую что он есть

файлы.rar

safety

safety

Опубликовано
Опубликовано

Если систему почистили с помощью KRD, то теперь ее можно загрузить в нормальный режим, и сделать логи FRST.

Может найдутся еще "недостающие запчасти" от вируса.

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Правильно ли я понимаю, что в этом файле будет сам шифратор?

ToRaMoSoV

ToRaMoSoV

Опубликовано
  • Автор
Опубликовано (изменено)

https://disk.yandex.ru/d/oTLEw6NdJJHwVA

 

Архив получился больше 5мб, поэтому прикладываю ссылку на яндекс диск.

 

Fixlog.txt

 

Изменено пользователем safety
здесь не надо публиковать информацию о переговорах со злоумышленниками
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей_71
      Зашифрованы файлы - Trojan-Ransom.Win64.Generic
      Автор Сергей_71
      Здравствуйте. Зашифрованы файлы. ОС: Windows 10 22H2 Pro x64. Антивирус Kaspersky Endpoint Security определил и удалил файл: "Удален    троянская программа UDS:Trojan-Ransom.Win64.Generic    C:\Users\Bibadmin\Desktop\766257983B28235B\Win32-Release\Stub.exe". Но файлы на ПК зашифрованы. Система НЕ была переустановлена. Файлы шифровальщика сохранены. Файлы были зашифрованы на рабочем ПК после окончания рабочего дня, обнаружено на следующий день, сб, 22.02.2026. Действующая лицензия на антивирус.
      FRST.txt файлы.rar Addition.txt
    • Oleg2002
      Зашифровали файлы, формат файла npz234, как можно попробовать расшифровать?
      Автор Oleg2002
      День добрый! Нужна помощь по расшифровке файлов npz234, какие способы есть?
    • Madser
      Поймал шифровальщик, помогите
      Автор Madser
      Добрый день. Вчера или позовчера словил вирус шифровальщик 
      Вот текст записки 
       
      Warning: Your files have been stolen and encrypted.
      If you want your files back, contact us at the email addresses shown below:
      Email: joedecryption@gmail.com
      Telegram: @joedecryption
      # In subject line please write your personal ID
      ID: 0CC4841421D393CDA0B009A916A4DAD3

      Warning: You will receive a discount if you contact us within 24 hours of decryption - Strictly try to avoid scam brokers or decryption companies, as they will only waste your money.
      Check Your Spam Folder: After sending your emails, please check your spam/junk folder
      regularly to ensure you do not miss our response.
      No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
      please create a new, valid email address (e.g., from Gmail, Outlook, etc.)
      and send your message again using the new email address.
      P.S : No one but us has the ability to decrypt your files.
       
       
    • DmTS
      Зашифрованы файлы на сервере
      Автор DmTS
      Здравствуйте.
      На сервере ночью шифровальщиком были зашифрованы все файлы. Вероятно попали через RDP. С помощью Kaspersky Endpoint Security 12 был пойман Stub.exe. Прошу подсказать, есть ли вариант восстановить данные.
      Addition.zip Files.zip FRST.zip
    • tr01
      Нужна помощь с восстановлением файлов
      Автор tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
×
×
  • Создать...