proton Вирус шифровальщик [reopening2025@gmail.com].lsjx

[ToRaMoSoV]

Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)

l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject

 

ID: A6D959082E20B73AC6B59F6EBB230948

 

Email 1: reopening2025@gmail.com Telegram: @Rdp21

 

To ensure decryption you can send 1-2 files less than 1MB we will de

 

We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.

 

IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

[thyrex]

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите всё необходимое к следующему сообщению в текущей теме.

[ToRaMoSoV]

В 22.09.2025 в 00:31, thyrex сказал:

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Новую тему создавать не нужно, прикрепите всё необходимое к следующему сообщению в текущей теме.

Извиняюсь, писал тему на горячую голову. Компьютер был заражён путем подбора логина и пароля к rdp. Злоумышленник отключил вручную касперский премиум, а также виндовс дефендер. После запуска вируса были зашифрованны все файлы(кроме 1 диска), также в каждой папке была записка (текст указан выше). Вчера попробовал найти exe файл в логах винды, а также попробовал восстановить удалённые файлы, однако ничего не нашёл. К сожалению, поскольку этот компьютер был единственным я не могу создать архив с приложеннными файлами, однако могу дать ссылку на яндекс диск. P.s. компьютер очистил от вируса путем загрузки с аварийного диска касперского

 

Изменено 8 часов назад пользователем ToRaMoSoV

[safety]

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

[ToRaMoSoV]

32 минуты назад, safety сказал:

Добавьте в архив несколько зашифрованных файлов + записку о выкупе, без пароля. Если сохранились файлы шифровальщика, добавьте в отдельный архив с паролем virus. Загрузите на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

Вот, попросил друга закинуть файлы в архив. Сам вирус я не нашёл, но чую что он есть

файлы.rar

[safety]

Если систему почистили с помощью KRD, то теперь ее можно загрузить в нормальный режим, и сделать логи FRST.

Может найдутся еще "недостающие запчасти" от вируса.

[ToRaMoSoV]

Провел сканирование, вот 2 файла

FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[ToRaMoSoV]

5 минут назад, safety сказал:

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
StartupDir: C:\ProgramData\bebca3bc90 <==== ВНИМАНИЕ
Startup: C:\ProgramData\bebca3bc90\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Startup: C:\ProgramData\bebca3bc90\hiddify.lnk.[reopening2025@gmail.com].lsjx [2025-09-20]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#HowToRecover.txt [2025-09-20] () [Файл не подписан]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-23 02:33 - 2025-09-23 02:33 - 000000000 _____ C:\Users\airko\Desktop\ВИРУС .zip
2025-09-21 00:37 - 2025-09-22 15:16 - 000000000 ____D C:\Users\airko\Desktop\x64-Release
2025-09-20 23:55 - 2025-09-20 23:55 - 000000612 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Правильно ли я понимаю, что в этом файле будет сам шифратор?

[safety]

Посмотрим, что попадет в карантин.