lokilocker ПК зашифрован Loki Locker через rdp.

4 часа назад

Addition.txt Restore-My-Files.txt file.zip FRST.txt

Добрый день!
Уехал в поездку, оставил для работы себе удалёнку по рдп. Взломали, хотя пароль был более-менее надёжный. В УЗ войти невозможно, cmd в средствах восстановления не открыть, пришлось через Strelec загружаться, через редактор реестра прописывать в загрузку cmd и запускать FRST. Также, в реестре нашёл ключи full и public, если это поможет - пришлю.
Не нашёл, что это запрещено правилами форума, так что готов платить специалистам, но не мошенникам.
Насколько понял, таймер висит до 31.10, если помощь займёт дольше - хотелось бы его продлить сначала.

Если восстановить без участия мошенников нереально - так и напишите, я посёрфил, встречал разные мнения.

4 часа назад

Надо было искать по форуму просто...
Что ж, подожду Sandor-а, видимо, и поплачу о не восстановляемых файлах...

И вопрос, если я найду копию зашифрованного файла, но расшифрованную - это может помочь достать ключ?

3 часа назад

Эти файлы сохраните, они необходимы при расшифровке файлов, в том случае если у вас будет дешифратор, или приватный ключ.

Цитата

2025-10-01 11:43 - 2025-10-01 11:43 - 000006565 _____ C:\ProgramData\info.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\Users\Admin\Documents\Cpriv.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\Users\Admin\Desktop\Cpriv.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\ProgramData\Cpriv.Loki
2025-10-01 11:43 - 2025-10-01 11:43 - 000003328 _____ C:\Cpriv.Loki

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {E2680847-54B1-4024-9BA6-621A5AE2D395} - System32\Tasks\Loki => C:\Users\Admin\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2025-10-01 11:43 - 2025-09-11 12:16 - 000532480 ___SH (Microsoft) C:\Windows\winlogon.exe
S2 AxAutoMntSrv; D:\Soft\Alcohol 120\AxAutoMntSrv.exe [X]
S2 AxVirtualAHCISrv; D:\Soft\Alcohol 120\AxAHCIServiceEx.exe [X]
S2 StarWindServiceAE; D:\Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
U4 dcpsvc; отсутствует ImagePath
U4 DiagTrack; отсутствует ImagePath
S3 R0FanControl; \??\E:\Soft\FanControl\FanControl.sys [X]
2025-10-01 11:51 - 2025-10-01 11:51 - 000006565 _____ C:\info.hta
2025-10-01 11:43 - 2025-10-01 11:43 - 000003166 _____ C:\Windows\system32\Tasks\Loki
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

1 час назад

2 часа назад, safety сказал:
Эти файлы сохраните, они необходимы при расшифровке файлов, в том случае если у вас будет дешифратор, или приватный ключ.

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы
Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2025-09-11] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {E2680847-54B1-4024-9BA6-621A5AE2D395} - System32\Tasks\Loki => C:\Users\Admin\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2025-10-01 11:43 - 2025-09-11 12:16 - 000532480 ___SH (Microsoft) C:\Windows\winlogon.exe
S2 AxAutoMntSrv; D:\Soft\Alcohol 120\AxAutoMntSrv.exe [X]
S2 AxVirtualAHCISrv; D:\Soft\Alcohol 120\AxAHCIServiceEx.exe [X]
S2 StarWindServiceAE; D:\Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
U4 dcpsvc; отсутствует ImagePath
U4 DiagTrack; отсутствует ImagePath
S3 R0FanControl; \??\E:\Soft\FanControl\FanControl.sys [X]
2025-10-01 11:51 - 2025-10-01 11:51 - 000006565 _____ C:\info.hta
2025-10-01 11:43 - 2025-10-01 11:43 - 000003166 _____ C:\Windows\system32\Tasks\Loki
Reboot::
End::
После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Кажется, не хватает скрипта, либо я слепой.
И уж извините за глупый вопрос, но шифрованные файлы ведь не удалятся, только сам вирус?

lokilocker ПК зашифрован Loki Locker через rdp.

Рекомендуемые сообщения

SimTor

SimTor

safety

SimTor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum