Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день, вирус вероятно проник через RDP, распространился по сетевым папкам и компьютерам, где был включен удаленный рабочий стол. Пробовал использовать средства дешифрования с https://www.nomoreransom.org/ и https://noransom.kaspersky.com/ru/ - ни один из способов не помог. Прикрепил письмо, результат сканирования FRST и примеры зашифрованных файлов. Спасибо.

virus.rar 5FDkZJUPI.README.txt FRST.txt Addition.txt

Опубликовано

Систему сканировали KVRT, Cureit или штатным антивирусом? Можете предоставить логи проверки в архиве, без пароля?

Опубликовано

Ничего не нашел.

C:\Users\Компьютер\AppData\Local\Temp\chrome_BITS_12004_1255479537\5FDkZJUPI.README.txt - Ok - 4ms, 980 bytes

 

Эти файлы заархивируйте с паролем virus, добавьте в ваше сообщение.

2025-10-12 02:21 - 2025-10-12 02:21 - 000501248 ___SH (Microsoft Corporation) C:\WINDOWS\system32\kvc.exe
2025-10-12 02:21 - 2025-10-12 02:21 - 000340480 ___SH (Microsoft Corporation) C:\WINDOWS\system32\kvc_crypt.dll
2025-10-12 02:21 - 2025-10-12 02:21 - 000165888 ___SH (Microsoft Corporation) C:\WINDOWS\system32\kvc_pass.exe

 

Опубликовано (изменено)

Увы расшифровка по Lockbit v3 Black без приватного ключа невозможна.

 

Проверьте ЛС для дополнительного анализа системы

 

Как избежать новых ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bek777
      Автор Bek777
      Здравствуйте! Второй комп у бухгалтера поймал шифровальщик. Антивирус на этом компьютере стоит давно с действующей лицензией. В моменте потухла музыка, Касперски показал найден Троян. Компьютер ребутнулся и файлы на раб.столе зашифрованы. Базы в 1С пустые. Многие программы работают. Во вложении отчет с Касперского. Повторной проверкой KVRT зараза не обнаруена. Есть возможность восстановить? Благодарю.

      отчетKes.rar
    • sva_zar
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
×
×
  • Создать...