Перейти к содержанию

Шифровальщик zimmer 1488

sashakrug
 Поделиться

Рекомендуемые сообщения

sashakrug

sashakrug

Опубликовано
Опубликовано

Здравствуйте!

ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов, записку о выкупе в архиве без пароля +

логи FRST

sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано

К сожалению записку найти не удалось. Где она может лежать?

zimmer.zip

 

41 минуту назад, sashakrug сказал:

К сожалению записку найти не удалось. Где она может лежать?

zimmer.zip 3.69 MB · 1 загрузка

Нашел вроде 

INFO_TO_DECRYPT_ZIMMER1488.txt

safety

safety

Опубликовано
Опубликовано

Шифрование именно в этой системе было, откуда логи FRST сделаны? что-то не видно ни одного зашифрованного файла.

Систему уже чистили в KVRT или Cureit? Можете добавить логи проверки в архиве, без пароля?

Покажите содержимое этих папок:

2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4

и

c:\temp

 

sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано (изменено)

 

19 минут назад, safety сказал:

Шифрование именно в этой системе было, откуда логи FRST сделаны? что-то не видно ни одного зашифрованного файла.

Систему уже чистили в KVRT или Cureit? Можете добавить логи проверки в архиве, без пароля?

Покажите содержимое этих папок:

2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4

и

c:\temp

 

Логи сделаны из под админского сеанса. Зашифрованные файлы видны во всех сеансах. Проверял CureIt. НЕ вижу как логи вытащить в CureIt

 

Безымянный2.jpg

Безымянный3.jpg

Безымянный.jpg

Изменено пользователем sashakrug
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2025-10-07 23:06 - 2025-10-07 23:41 - 000000000 ____D C:\temp
2025-10-08 00:19 - 2023-09-28 11:37 - 000000000 __SHD C:\Users\Лошманов Евгений\AppData\Local\5457DB13-E85D-B5AF-3E73-BA66CEDC8EC4
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

10 минут назад, sashakrug сказал:

НЕ вижу как логи вытащить в CureIt

Как найти файл: 

  1. Откройте Проводник Windows: или "Этот компьютер".
  2. Перейдите в папку пользователя: по пути: C:\Users\<Ваше_Имя_Пользователя>.
  3. Найдите папку DoctorWeb: и внутри нее вы увидите файл CureIt.log.
Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Просьба не цитировать мои сообщения, просто пишите ответ в окне редактора.

Время у меня позднее, результат выполнения скрипта проверю завтра.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Странно что Cureit не нашел файл шифровальщика.

Актуальным Cureit проверяли, или со старой базой?

Судя по результату проверки детект есть:

DrWeb Trojan.Encoder.40979

https://www.virustotal.com/gui/file/4c5177f1ab53a1beaa5b68e2d51aea56bcae9b16b76136e6f5afeb246b3ce9ff?nocache=1

С расшифровкой файлов не сможем помочь без приватного ключа.

 

Как избежать ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

sashakrug

sashakrug

Опубликовано
  • Автор
Опубликовано

Приватный ключ можно получить только от адреса вымогателя, указанного в письме после оплаты я так понимаю? По стоимости может ориентируетесь какая сумма там примерно?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tr3ton51
      Шифровальщик поработал над компьютером бухгалтера
      Автор tr3ton51
      Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****gk*WWWWW-***gk
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - victor_ia@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      возможно ли спасти данные? прикрепил зашифрованные картинки
      How-to-decrypt.txt картинки.zip
    • Gulzat
      Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • neo2005
      Шифровальщик Zimmer
      Автор neo2005
      Добрый день! Нужна помощь в борьбе с шифровальщиком Zimmer. Много важных файлов на компьютере и теперь все зашифровано( Файлы и логи приложены.
      Addition.txt FRST.txt INFO_TO_DECRYPT_ZIMMER1488.txt
    • Ired
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор Ired
      Здравствуйте.
      Поймали эту заразу.
      К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
      Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
      Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
      Прошу посильной помощи.
      FRST_logs.7z EncryptedFiles.7z
    • Carbamazepine
      enkacrypt Mimic/Pay2Key Ransomware
      Автор Carbamazepine
      Всем привет, постигла участь один из компьютеров подхватить enkacrypt. 
      Имеет смысл попытаться спасти систему? Установлен kaspersky premium.
      Пароль на архив virus - там ransom-нота и 2 примера зашифрованных файлов. 
       
      Addition.txt FRST.txt example.zip
×
×
  • Создать...