Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Шифровальщик с расширением aKNreR08

Reglas
 Поделиться

Рекомендуемые сообщения

Reglas

Reglas

Опубликовано
Опубликовано

После праздников обнаружил что взломали или бекдорнули компьютер на работе с доступом к серверу 1С через RDP и зашифровали данные формат aKNreR08.
Файл шифровальщика не нашел.

Virus.zip Addition.txt FRST.txt Virus2.7z FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

Что у вас с логами? Это с разных компьютеров логи?

Reglas

Reglas

Опубликовано
  • Автор
Опубликовано
10 минут назад, safety сказал:

Что у вас с логами? Это с разных компьютеров логи?

Да первый лог с одного компьютера. Второй лог с другого.

safety

safety

Опубликовано
Опубликовано (изменено)

По первому ПК:

Эту папку заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

C:\Users\zhukov\Desktop\857677AEB71E9302 (2)

+

добавьте папку отчетов KVRT из этого каталога:

2025-11-02 00:10 - 2022-06-14 12:01 - 000000000 ____D C:\KVRT2020_Data

 

 

 

 

Изменено пользователем safety
Reglas

Reglas

Опубликовано
  • Автор
Опубликовано (изменено)
20 минут назад, safety сказал:

По первому ПК:

Эту папку заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

C:\Users\zhukov\Desktop\857677AEB71E9302 (2)

+

добавьте папку отчетов KVRT из этого каталога:

2025-11-02 00:10 - 2022-06-14 12:01 - 000000000 ____D C:\KVRT2020_Data

 

 

 

 

В папке KVRT все зашифровано то же.

Плюс ко всему злоумышленник удалил антивирус.

https://drive.google.com/file/d/1B4mk4VO0EYqzKNyRdQnJ246p-7hKvGh_/view?usp=sharing

Reports.zip

Изменено пользователем Reglas
safety

safety

Опубликовано
Опубликовано

По первому ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\zhukov\Desktop\857677AEB71E9302 (2)\857677AEB71E9302\Win32-Release\Stub.exe
(Famatech Corp. -> Famatech Corp.) C:\Users\admin\AppData\Local\Temp\Advanced IP Scanner 2\advanced_ip_scanner.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {7C93EC29-4561-4C4B-9862-8970E5F20D9E} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте новые логи FRST для контроля.

Reglas

Reglas

Опубликовано
  • Автор
Опубликовано
12 минут назад, safety сказал:

По первому ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\zhukov\Desktop\857677AEB71E9302 (2)\857677AEB71E9302\Win32-Release\Stub.exe
(Famatech Corp. -> Famatech Corp.) C:\Users\admin\AppData\Local\Temp\Advanced IP Scanner 2\advanced_ip_scanner.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {7C93EC29-4561-4C4B-9862-8970E5F20D9E} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте новые логи FRST для контроля.

Вот новые логи.

FRST.txt Fixlog.txt

safety

safety

Опубликовано
Опубликовано

Здесь мы погасили пожар, осталось дочистить немного.

Дешифраторы, которые вы скачали, в данном случае все бесполезны применительно к данному типу шифровальщика.

Что в этой архиве  у вас:

2025-11-05 12:51 - 2025-11-05 12:51 - 047825620 _____ C:\Users\zhukov\Downloads\Ransomware-main.zip

и посмотрите, что в этих папках:

2025-11-01 23:56 - 2025-11-02 01:33 - 000000000 ____D C:\Users\zhukov\Desktop\2

2025-11-01 23:47 - 2025-11-02 01:22 - 000000000 ____D C:\Users\admin\Desktop\2

 

 

Reglas

Reglas

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Здесь мы погасили пожар, осталось дочистить немного.

Дешифраторы, которые вы скачали, в данном случае все бесполезны применительно к данному типу шифровальщика.

Что в этой архиве  у вас:

2025-11-05 12:51 - 2025-11-05 12:51 - 047825620 _____ C:\Users\zhukov\Downloads\Ransomware-main.zip

и посмотрите, что в этих папках:

2025-11-01 23:56 - 2025-11-02 01:33 - 000000000 ____D C:\Users\zhukov\Desktop\2

2025-11-01 23:47 - 2025-11-02 01:22 - 000000000 ____D C:\Users\admin\Desktop\2

 

 

Я проверял, вдруг подойдет какой то из слитых ключей.

В этих папках лежат программы для скана паролей(WebBrowserPassView,netpass), айпи(advanced ip scaner) и тп вещей.

Плюс программа mimikatz.

safety

safety

Опубликовано
Опубликовано (изменено)

Это все инструменты злоумышленников.

Заархивируйте эти папки с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

возможно что там есть и сэмплы Proton-а.

Папки эти можно будет потом удалить.

Изменено пользователем safety
Reglas

Reglas

Опубликовано
  • Автор
Опубликовано (изменено)
20 минут назад, safety сказал:

Это все инструменты злоумышленников.

Заархивируйте эти папки с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

возможно что там есть и сэмплы Proton-а.

Папки эти можно будет потом удалить.

ссылки удалены

Изменено пользователем safety
ссылки удалены
safety

safety

Опубликовано
Опубликовано (изменено)

Перезалейте архивы на яндекс-диск, гугл блокирует загрузку архивов. Архивы должны быть обязательно с паролем.

Изменено пользователем safety
Reglas

Reglas

Опубликовано
  • Автор
Опубликовано (изменено)
9 минут назад, safety сказал:

Перезалейте архивы на яндекс-диск, гугл блокирует загрузку архивов. Архивы должны быть обязательно с паролем.

архив загружен, ссылка удалена.
Пароль: 555

Изменено пользователем safety
архив загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано (изменено)

Проверьте ЛС для анализа по первому ПК.

------------

По второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(C:\Users\836D~1\AppData\Local\Temp\2\Advanced IP Scanner 2\advanced_ip_scanner.exe ->) (Microsoft Windows -> Microsoft Corporation)
(Famatech Corp. -> Famatech Corp.) C:\Users\836D~1\AppData\Local\Temp\2\Advanced IP Scanner 2\advanced_ip_scanner.exe
(NirSoft) [Файл не подписан] C:\Users\Администратор\Desktop\2\Mimik\Pass\netpass64.exe
(NirSoft) [Файл не подписан] C:\Users\Администратор\Desktop\2\Mimik\Pass\WebBrowserPassView.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-11-01 23:34 - 2025-11-01 23:34 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2025-11-02 00:19 - 2025-11-02 02:30 - 000000000 ____D C:\Users\Администратор\Desktop\857677AEB71E9302 (2)
2025-11-01 23:38 - 2025-11-02 02:30 - 000000000 ____D C:\Users\Администратор\Desktop\2
2025-11-01 23:37 - 2025-11-02 02:30 - 000000000 ____D C:\Users\Администратор\Desktop\Mimik
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено пользователем safety
Reglas

Reglas

Опубликовано
  • Автор
Опубликовано
29 минут назад, safety сказал:

Проверьте ЛС для анализа по первому ПК.

------------

По второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(C:\Users\836D~1\AppData\Local\Temp\2\Advanced IP Scanner 2\advanced_ip_scanner.exe ->) (Microsoft Windows -> Microsoft Corporation)
(Famatech Corp. -> Famatech Corp.) C:\Users\836D~1\AppData\Local\Temp\2\Advanced IP Scanner 2\advanced_ip_scanner.exe
(NirSoft) [Файл не подписан] C:\Users\Администратор\Desktop\2\Mimik\Pass\netpass64.exe
(NirSoft) [Файл не подписан] C:\Users\Администратор\Desktop\2\Mimik\Pass\WebBrowserPassView.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2025-11-01 23:34 - 2025-11-01 23:34 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2025-11-02 00:19 - 2025-11-02 02:30 - 000000000 ____D C:\Users\Администратор\Desktop\857677AEB71E9302 (2)
2025-11-01 23:38 - 2025-11-02 02:30 - 000000000 ____D C:\Users\Администратор\Desktop\2
2025-11-01 23:37 - 2025-11-02 02:30 - 000000000 ____D C:\Users\Администратор\Desktop\Mimik
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

https://disk.yandex.ru/d/-59VEV_D-th4Cg

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pexorka
      Зашифровали файлы
      Автор Pexorka
      Добрый вечер! Сегодня утром обнаружили что на сервере зашифрованы все файлы и созданы 2 новых тома А и В. прикрепляю зашифрованные файлы и требования выкупа, пароль архива virus. Прошу помочь в расшифровке, заранее спасибо !
      Addition.txt FRST.txt Helper.zip
    • vladimir_kornienkov
      Нужна помощь с расшифровкой файлов
      Автор vladimir_kornienkov
      Добрый день, в 2:00 ночи были зашифрованы все файлы на сервере. Windows 2008 R2 😃 да да, он еще существует
       
      Есть письмо с требованием:

      Warning: Your files have been stolen and encrypted. 
       
      If you want your files back, contact us at the email addresses shown below: 
       
      sembekker@aol.com 
       
      Telegram: @decrypt_yourfile 
       
      # In subject line please write your personal ID 
      ID: 3EAB3BB6E939ECF31504E5DC8AE33F61
       
       
      Check Your Spam Folder: After sending your emails, please check your spam/junk folder 
      regularly to ensure you do not miss our response. 
       
      No Response After 24 Hours: If you do not receive a reply from us within 24 hours, 
      please create a new, valid email address (e.g., from Gmail, Outlook, etc.) 
      and send your message again using the new email address.
       
      Что удалось на яндексить по этому шифровальщику:
       
      Есть ссылка на гит с этой почтой и телегой: https://github.com/rivitna/Malware/blob/main/Proton/attackers.txt
       Так же, по тому что я увидел на сервере, был влом аккаунта Администратор, в папку моя музыка был закинут архив под название zip и в нем есть содержимое: архив загружен, ссылка удалена
    • SerGUNt
      просим помощи с шифровальщиком lsjx
      Автор SerGUNt
      Здравствуйте.
      Взломали компьютер по RDP, зашифровали файлы. Требуют денежку, в текстовых файлах во всех папках раскидали этот файл с контактами. все файлы имеют такой вид: file.[reopening2025@gmail.com].lsjx
      Пытался просканировать FRST ,но её вышибало (запускалась и при нажатии сканировать закрывалась), пока не просканировал всю систему с помощью KVRT, он нашёл только один вирус который сидел в системе: System Memory: HEUR:Trojan.Multi.Ifeodeb.a , пришлось вылечить его из памяти после чего FRST заработал. (кроме его ничего не нашлось, я и ничего лишнего не лечил , только из самой памяти).
      Все данные прикрепляю.
      Так же на рабочем столе есть один не зашифрованный exe файл с названием (WinScan2PDF.exe), что мне показалось странным и я его запаковал на всякий случай как вирус с паролем virus (всё как по мануалу).
      Будем благодарны если рассмотрите мою ситуацию и спасёте файлы.
      В архиве file.7z файлы с примером зашифрованных файлов и текстовик с вымоганием.
       
      virus.7z FRST.7z file.7z
    • Валерий Гурьянов
      Сначала атаковал вирус neshta, затем отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.
      Автор Валерий Гурьянов
      Заметили, что атаковал вирус neshta, приобрели антивирус Kaspersky Endpoint Security (расширенный), вычистили при его помощи вирус, защита была включена. Ночью отработал шифровальщик, всё зашифровал, расширение npz234. Тип шифровальщика определить не получается.
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • Arakki
      Предположительно Proton / Shinra
      Автор Arakki
      Столкнулся с шифровальщиком. Сайт ID Ransomware определил вирус как Proton/Shinra. Могу прикрепить только файл с угрозой и вымогательством. Попытки найти декодер не увенчались успехом. Однако при обращении в **** мне ответили, что декодер существует и сайт готов его предоставить за 500.000 рублей.
       
      Указанный вами сайт является мошенническим, который предлагает пострадавшим посредничество между жертвой и злоумышленниками.  Т.е. они предлагают вам то же самое, что и злоумышленники в своей записке о выкупе, и мало чем от них отличаются.
       
      Так вот, может с момента последних постов в этом форуме декодер существует? Или верить в такое не стоит? Как полностью очистить вирус с устройства?
      HowToRecover.txt
×
×
  • Создать...