Перейти к содержанию

Поймал шифровальщика предположительно с какого-то сайта с техническими статьями


Рекомендуемые сообщения

Опубликовано

День добрый. Поймал шифровальщика предположительно с какого-то сайта с техническими статьями и схемами. Адрес начинается с dig дальше не помню.

Вначале были блокировки рабочего стола, типа смены пользователя, а после отработал шифровальщик. Самого шифровальщика найти не получилось.

Очень нужна помощь.

FRST.txt Addition.txt E.7z

Опубликовано

Если систему сканировали штатным антивирусом, KVRT, или Cureit добавьте отчеты по сканированию, в архиве, без пароля.

Посмотрите в истории браузера, найдите сайты откуда могли предположительно скачать файл шифровальщика.

Опубликовано

Каспером просканил, результат прикреплен. Нашел какую-то бяку

Браузер не запускается, если получится как то найти сайт отправлю дополнительно

 

KVRT.7z

Опубликовано

Обнаружение скорее всего не имеет отношение к шифровальщику.

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\ProgramData\TEMP:5B4BB726 [102]
AlternateDataStreams: C:\ProgramData\TEMP:C7A9BA7F [135]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
U4 npcap_wifi; отсутствует ImagePath
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Опубликовано (изменено)

Наконец-то сделал на втором

На рабочем столе нашлись папка и файлы, которых там не было, с трояном Mimikatz

FRST.txt Addition.txt KVRT2020_Data.7z file.7z

 

Нашел адрес страницы откуда предположительно прилетело.

ссылка.txt

Изменено пользователем Intel_agent
Дополнение
Опубликовано (изменено)

Это файл шифровальщика.

   <Event10 Action="Detect" Time="134102713581957278" Object="C:\Users\Root\Documents\LB3.exe" Info="HEUR:Trojan-Ransom.Win32.Generic" />

Пробуйте его восстановить из карантина, заарживируйте файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС. Затем файл можно удалить.

Изменено пользователем safety
Опубликовано (изменено)

Да, этим файлом было выполнено шифрование.

 

ransom ext: ".QowO2p9ZM"
ransom note name: "QowO2p9ZM.README.txt"

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Опубликовано

Печально конечно, но все равно спасибо за помощь

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bek777
      Автор Bek777
      Здравствуйте! Второй комп у бухгалтера поймал шифровальщик. Антивирус на этом компьютере стоит давно с действующей лицензией. В моменте потухла музыка, Касперски показал найден Троян. Компьютер ребутнулся и файлы на раб.столе зашифрованы. Базы в 1С пустые. Многие программы работают. Во вложении отчет с Касперского. Повторной проверкой KVRT зараза не обнаруена. Есть возможность восстановить? Благодарю.

      отчетKes.rar
    • sva_zar
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
×
×
  • Создать...