Перейти к содержанию

Зашифровали базы 1с (файловые)

ELF_11
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] C:\Users\User\AppData\Local\Temp\3582-490\NS.exe <3>
HKLM\...\Run: [svhost.exe] => C:\Users\User\AppData\Local\Decrypt_enkacrypt.txt [973 2025-09-20] () [Файл не подписан]
HKLM-x32\...\Run: [YourApplicationName] => C:\Users\User\AppData\Local672430946295\wmpsystem.exe [6504448 2025-09-20] (EyeLocker) [Файл не подписан]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge StartupUrls: Default -> "hxxps://yandex.ru","hxxps://ovgorskiy.ru"
CHR StartupUrls: Default -> "hxxps://www.google.com","hxxps://ovgorskiy.ru"
2025-09-22 10:52 - 2025-09-22 10:52 - 000000015 _____ C:\Users\and\advanced_ip_scanner_Comments.bin
2025-09-22 10:52 - 2025-09-22 10:52 - 000000015 _____ C:\Users\and\advanced_ip_scanner_Aliases.bin
2025-09-22 10:52 - 2025-09-22 10:52 - 000000004 _____ C:\Users\and\advanced_ip_scanner_MAC.bin
2025-09-20 16:25 - 2025-09-20 16:25 - 000000973 _____ C:\Users\User\Desktop\Decrypt_enkacrypt.txt
2025-09-20 16:22 - 2025-09-20 16:25 - 000000973 _____ C:\Decrypt_enkacrypt.txt
2025-09-20 16:22 - 2025-09-20 16:24 - 000000973 _____ C:\Users\User\AppData\Local\Decrypt_enkacrypt.txt
2025-09-20 16:22 - 2025-09-20 16:22 - 000000000 ____D C:\temp
2025-09-20 16:21 - 2025-09-20 16:21 - 000001050 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2025-09-20 16:21 - 2025-09-20 16:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2025-09-20 16:21 - 2025-09-20 16:21 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2025-09-20 17:27 - 2022-01-16 07:14 - 000000000 __SHD C:\Users\User\AppData\Local\A830A994-1E61-805B-532D-74E13170897A
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Игорь Крайнев
      зашифровали базы 1с на сервере
      Автор Игорь Крайнев
      заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали
      на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать
      вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker
      Addition.txt CRYPT_FILES.zip FRST.txt
    • Гальваник
      на 12 машинах произошло шифрование
      Автор Гальваник
      22.01.26 утром на предприятии было обнаружено, что на 12 машинах произошло шифровании системы. Было отключено сетевое оборудование и распространение остановилось. Файлы после сканирования зараженной машины, прилагаю(пароль virus)
       
      Addition.txt DECRYPT_FILES.txt FRST.txt
      вирус.7z
    • Ton
      Зашифровали файлы
      Автор Ton
      Вот такие файлы имеются 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...