Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.

 

Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).

 

Помогите, пожалуйста.

FRST_logs.zip Samples.zip

Опубликовано (изменено)

По типу шифровальщика пока не могу ответить, но явно не MEOW.

 

Если был найден сэмпл шифровальщика, добавьте данный файл в архиве с паролем virus,

Если систему сканировали штатным антивирусом, в KVRT или Cureit, добавьте отчеты по сканированию, в архиве без пароля.

Судя по логам FRST Windef показывает наличие вредоносного процесса:

Цитата

имя: Behavior:Win32/CobaltStrike.J!sms

 

Сделайте дополнительного анализа образ автозапуска.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.


4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено пользователем safety
Опубликовано

Было выполнено полное сканирование KVRT. Чисто.  Отчеты KVRT(Reports.zip) и лог uVS(1C-VELES_2025-12-16_10-35-28_v5.0.3v x64.7z) во вложении. Исполняемый файл шифровальщика при полном сканировании не обнаружен.

Reports.zip 1C-VELES_2025-12-16_10-35-28_v5.0.3v x64.7z

Опубликовано (изменено)

Проверьте, что это может  быть за детект:

Цитата

Date: 2025-09-14 04:49:19
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Backdoor:Win64/CobaltStrike!pz
ИД: 2147894794
Серьезность: Критический
Категория: Лазейка
Путь: file:_C:\Users\rpavlushin\Documents\Visual Studio 2017\Templates\ItemTemplates\JavaScript\svchost.exe; file:_C:\Users\Администратор\Downloads\svo.exe; process:_pid:10076,ProcessStart:134022395992458765; process:_pid:12384,ProcessStart:134022602516435081
Начало обнаружения: Локальный компьютер

Если эти файлы сохранились на диске, добавьте в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание.

Изменено пользователем safety
Опубликовано

+ попробуйте выполнить поиск файлов с такими именами:

XTAJIT.DLL

XTAJIT64.DLL

Опубликовано (изменено)

...

Изменено пользователем Шиловский
удалено, неактуально
Опубликовано

Для нас любая информация по вашему случаю шифрования будет полезной.

Опубликовано
1 минуту назад, safety сказал:

Для нас любая информация по вашему случаю шифрования будет полезной.

Не обновил страницу, не видел два ваших ответа выше. Спрашивал, что искать. Ищу.

Опубликовано

Ничего из перечисленного с диска достать не удалось. Приложить пару - чистый и тот же файл зашифрованный имеет смысл?

Опубликовано (изменено)

Да, приложите.

 

Эти файлы тоже не нашлись?
 

Цитата

 

C:\Users\Администратор\Downloads\svo.exe

C:\Users\rpavlushin\Documents\Visual Studio 2017\Templates\ItemTemplates\JavaScript\svchost.exe

 

Может, сохранились в карантине дефендера?

Изменено пользователем safety
Опубликовано

Пара файлов(Pair.zip), оригинальный и шифрованный, во вложении.

 

Ничего нет. Ни в карантине, ни на диске. Возможно, можно достать из фс данные без имени, но понимать бы - как искать.

Pair.zip

Опубликовано

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • AltayResort
      Автор AltayResort
      Добрый День!
       
      Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls
      Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.
       Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее
      Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.
      С Уважением.
      ООО Алтай Резорт
       
    • nikolay_2009
      Автор nikolay_2009
      добрый день
      все фотки заблокированы и зашифрованы. 
      списывался с криптолокером. он дерзит и просит 15000р хотя и говорит что только рабочие компьютеры банит. выручайте.
      прикрепляю файлы из разных папок. "тела" вируса уже наверное нет. т.к. обратился за помощью к знакомому и он мне переустановил винду даже не активировав и файл логгера с вашего сайта. спасибо.  и фото почему то не загружаются((((. что делать? ни большие ни маленькие
      CollectionLog-2015.11.04-21.51.zip
    • big_boy840
      Автор big_boy840
      Есть расшифровщик или нет?
      У меня с такими же названиями maxcrypt@foxmail2.com файлы.
      Это значит, что расшифровщик его должен мне подойти?
    • Ердаулет
      Автор Ердаулет
      Вирус зашифровал все файлы в формат.bad зашифрованные файлы переместил в одну папку расшифровать не получается или я не правильно делаиу?
      CollectionLog-2015.10.20-00.47.zip
×
×
  • Создать...