Перейти к содержанию

Вирус шифровальщик зашифровал файлы через RDP, расширение 5FDkZJUPI

realpro
 Поделиться

Рекомендуемые сообщения

realpro

realpro

Опубликовано
Опубликовано

Добрый день, вирус вероятно проник через RDP, распространился по сетевым папкам и компьютерам, где был включен удаленный рабочий стол. Пробовал использовать средства дешифрования с https://www.nomoreransom.org/ и https://noransom.kaspersky.com/ru/ - ни один из способов не помог. Прикрепил письмо, результат сканирования FRST и примеры зашифрованных файлов. Спасибо.

virus.rar 5FDkZJUPI.README.txt FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

Систему сканировали KVRT, Cureit или штатным антивирусом? Можете предоставить логи проверки в архиве, без пароля?

safety

safety

Опубликовано
Опубликовано

Ничего не нашел.

C:\Users\Компьютер\AppData\Local\Temp\chrome_BITS_12004_1255479537\5FDkZJUPI.README.txt - Ok - 4ms, 980 bytes

 

Эти файлы заархивируйте с паролем virus, добавьте в ваше сообщение.

2025-10-12 02:21 - 2025-10-12 02:21 - 000501248 ___SH (Microsoft Corporation) C:\WINDOWS\system32\kvc.exe
2025-10-12 02:21 - 2025-10-12 02:21 - 000340480 ___SH (Microsoft Corporation) C:\WINDOWS\system32\kvc_crypt.dll
2025-10-12 02:21 - 2025-10-12 02:21 - 000165888 ___SH (Microsoft Corporation) C:\WINDOWS\system32\kvc_pass.exe

 

safety

safety

Опубликовано
Опубликовано (изменено)

Увы расшифровка по Lockbit v3 Black без приватного ключа невозможна.

 

Проверьте ЛС для дополнительного анализа системы

 

Как избежать новых ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
    • Amirsvami
      Шифровальщик попал в организацию!
      Автор Amirsvami
      Добрый день! 
      Сегодня ночью подверглись атаке шифровальщика. Разрушил всё! Начиная с файлов (частично) заканчивая бекапами и базами данных, а так же виртуальные машины. Просьба написать, какие данные скинуть для анализа, возможно уже был похожий кейс. А, и ещё, в организации нашей установлен корпоративный Касперский.

    • Юрий_86
      Шифровальщик lockbit v3 black
      Автор Юрий_86
      Поймал шифровальщик. Во вложении архив с зашифрованным и исходным файлом, плюс письмо о выкупе.
      Антивирусом Cureit проверяли, ничего не нашли. Система полностью переустановлена. Никаких логов нет.
      Подскажите, есть ли способ расшифровать?
      Архив.zip
    • Alexan_S
      Шифровальщик ijAfcuXJL от room155
      Автор Alexan_S
      Добрый день. Поймали шифровальщик от room155.
      Открыли письмо с темой: Счет для Вашей организации.
      В zip-овском архиве был документ и скрипт, само письмо, к сожалению, уже удалили.
      Есть файлы до и после зашифровки, сам шифровальщик поймать не удалось.
      архив.zip
    • Vladimir Kudashov
      Шифровальщик (APT Werewolves)
      Автор Vladimir Kudashov
      Прошу помощи в подборе декриптора.
      Есть записка от злоумышленников и пара файлов (оригинал и зашифрованный).
      yKHkJGIje.README.txt
      Несколько зашифрованных файлов
      enc_files.zip
×
×
  • Создать...