Перейти к содержанию

Шифровальщик forumkasperskyclubru@msg.ws

Ired
 Поделиться

Рекомендуемые сообщения

Ired

Ired

Опубликовано
Опубликовано (изменено)

Здравствуйте.
Поймали эту заразу.
К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
Прошу посильной помощи.

FRST_logs.7z EncryptedFiles.7z

Изменено пользователем Ired
safety

safety

Опубликовано
Опубликовано

Сканирование системы выполняли с помощью Cureit, KVRT или штатным антивирусом? Можете добавить логи сканирования и отчеты в архиве без пароля?

Возможно что шифрование было на другом ПК, а на этом были затронуты только общие папки.

Проверьте на другом устройстве есть ли в папке C:\temp файл session.tmp

Ired

Ired

Опубликовано
  • Автор
Опубликовано

Сперва загрузился с флэшки с KRD и прогнал KVRT, затем на эту же флэшку залил LiveDisk, загрузился с нее и прогнал CureIt. В результате работы данных утилит на диске С появились 2 папки: "KRD2024_Data" и "DrWeb Quarantine". Сбросил архив на https://disk.yandex.ru/d/5WlH20wftI5iVQ
Если нужны какие-то другие логи - сообщите, где их искать. Спасибо!

safety

safety

Опубликовано
Опубликовано

да уж, судя по логу KRD разворошили осинное гнездо.

Имеет смысл прогнать еще в KVRT из нормального режима.

детект Backdoor.Win32.DarkKomet.hqxy может быть так же связан с файловым заражением исполняемых файлов.

После проверки в KVRT сделайте дополнительно логи FRST

safety

safety

Опубликовано
Опубликовано

Судя по логам FRST в основном все дочищено.

 

С расшифровкой файлов, к сожалению, не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

+

проверьте ЛС.

 

 

Ired

Ired

Опубликовано
  • Автор
Опубликовано

Теперь данные по второму зашифрованному ПК - похоже, именно он и явился источником заражения, как Вы и предположили, т.к. именно на нем был обнаружен шифровальщик "KAV_tool.exe".

Сделал точно так же: сперва пролечил с загрузочной USB KRD (архив "KRD2024_Data"), затем пролечил с LiveDisk (архив "DrWeb Quarantine").
После чего загрузил ПК в обычном режиме, собрал логи FRST (архив "FRST"), ESVC (архив "ESVC_Имя_ПК"), затем еще прошелся KVRT (архив "KVRT2020_Data").
Ссылку отправил в ЛС ув. Safety (из-за наличия логов ESVC).

safety

safety

Опубликовано
Опубликовано

По очистке второго ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {1df15814-34d8-11ee-8876-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {1df1587a-34d8-11ee-8876-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {2a9b1d23-644d-11eb-91a8-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {2a9b1d2f-644d-11eb-91a8-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {2b8442e6-61f2-11eb-b109-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {2b844310-61f2-11eb-b109-94de80e30678} - H:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {3294857f-7515-11ec-b9a6-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {49baa41d-6f4f-11eb-9307-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {84664872-4b39-11f0-aee8-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {a3a9df2b-498c-11eb-8cd5-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {a3a9df68-498c-11eb-8cd5-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {abb98ea8-765e-11eb-b952-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {abb98eaf-765e-11eb-b952-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {abb98ec2-765e-11eb-b952-94de80e30678} - G:\start.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {bd144b02-8c6e-11f0-af2d-94de80e30678} - G:\SISetup.exe
HKU\S-1-5-21-3979415242-2451320738-3067050-1003\...\MountPoints2: {edcf67f8-9117-11eb-9ce6-94de80e30678} - G:\start.exe
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Glbuh\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2025-09-18 15:58 - 2025-09-29 10:28 - 000000000 ____D C:\temp
2025-09-30 19:37 - 2022-11-05 12:12 - 000000000 __SHD C:\Users\Glbuh\AppData\Local\A2A37072-CC74-338F-6EDD-AA1A99DB57B1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано

Хорошо, система очищена,

 

С расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
    • Greshnick
      secure5555@msgsafe.io
      Автор Greshnick
      4.10.2022 через слабый RDP зашифровали файлики на серверах во всей сети.
      Однозначно можно сказать, что по словарю пытались подобрать пароль к дефолтному Администратору.
      архив с шифрованными файлами прилагаю.
      Так же удалось выцепить само тело вируса. Архив могу выслать.
      Есть шансы на восстановление, или хоронить?
       
      Содержание письма с требованием instructions.txt:
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      g0ei9.rar
    • Denis.A.Shmarov
      Помогите расшифровать.
      Автор Denis.A.Shmarov
      Коллеги добрый ( не очень) день!
       
      Также поймали этого шифровальщика - и идентификатор тот же что и в первом посте Ильдар_T
       
      Вопрос к Ильдар_T    Удалось ли что-то выяснить по сабжу ?
       
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      Сообщение от модератора kmscom Тема перемещена из https://forum.kasperskyclub.ru/topic/238801-pomogite-rasshifrovat/?_report=2928  
    • sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком
      Автор sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком. Скан антивирусом не проводил как рекомендует записка, записки и файлы прилагаю.
      файлы и записка.rar Addition.txt FRST.txt
    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
×
×
  • Создать...