не определен Шифровальщик; *.putin; Conti(Meow)?

Понедельник в 19:42

Добрый день.

Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).

Помогите, пожалуйста.

FRST_logs.zip Samples.zip

Вторник в 03:23

По типу шифровальщика пока не могу ответить, но явно не MEOW.

Если был найден сэмпл шифровальщика, добавьте данный файл в архиве с паролем virus,

Если систему сканировали штатным антивирусом, в KVRT или Cureit, добавьте отчеты по сканированию, в архиве без пароля.

Судя по логам FRST Windef показывает наличие вредоносного процесса:

Цитата

имя: Behavior:Win32/CobaltStrike.J!sms

Сделайте дополнительного анализа образ автозапуска.

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено Вторник в 06:53 пользователем safety

Вторник в 08:07

Было выполнено полное сканирование KVRT. Чисто. Отчеты KVRT(Reports.zip) и лог uVS(1C-VELES_2025-12-16_10-35-28_v5.0.3v x64.7z) во вложении. Исполняемый файл шифровальщика при полном сканировании не обнаружен.

Reports.zip 1C-VELES_2025-12-16_10-35-28_v5.0.3v x64.7z

Вторник в 08:47

Для дополнительного анализа, проверьте ЛС.

Вторник в 10:18

Проверьте, что это может быть за детект:

Цитата

Date: 2025-09-14 04:49:19
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Backdoor:Win64/CobaltStrike!pz
ИД: 2147894794
Серьезность: Критический
Категория: Лазейка
Путь: file:_C:\Users\rpavlushin\Documents\Visual Studio 2017\Templates\ItemTemplates\JavaScript\svchost.exe; file:_C:\Users\Администратор\Downloads\svo.exe; process:_pid:10076,ProcessStart:134022395992458765; process:_pid:12384,ProcessStart:134022602516435081
Начало обнаружения: Локальный компьютер

Если эти файлы сохранились на диске, добавьте в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание.

Изменено Вторник в 10:29 пользователем safety

Вторник в 10:37

+ попробуйте выполнить поиск файлов с такими именами:

XTAJIT.DLL

XTAJIT64.DLL

Вторник в 12:32

...

Изменено Вторник в 12:34 пользователем Шиловский
удалено, неактуально

Вторник в 12:52

Для нас любая информация по вашему случаю шифрования будет полезной.

Вторник в 12:54

1 минуту назад, safety сказал:

Для нас любая информация по вашему случаю шифрования будет полезной.

Не обновил страницу, не видел два ваших ответа выше. Спрашивал, что искать. Ищу.

Вторник в 18:45

Ничего из перечисленного с диска достать не удалось. Приложить пару - чистый и тот же файл зашифрованный имеет смысл?

Среда в 00:23

Да, приложите.

Эти файлы тоже не нашлись?

Цитата

C:\Users\Администратор\Downloads\svo.exe

C:\Users\rpavlushin\Documents\Visual Studio 2017\Templates\ItemTemplates\JavaScript\svchost.exe

Может, сохранились в карантине дефендера?

Изменено Среда в 00:25 пользователем safety

Среда в 09:10

Пара файлов(Pair.zip), оригинальный и шифрованный, во вложении.

Ничего нет. Ни в карантине, ни на диске. Возможно, можно достать из фс данные без имени, но понимать бы - как искать.

Pair.zip

Среда в 11:37

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Среда в 12:18

Спасибо.

не определен Шифровальщик; *.putin; Conti(Meow)?

Рекомендуемые сообщения

Шиловский

safety

Шиловский

safety

safety

safety

Шиловский

safety

Шиловский

Шиловский

safety

Шиловский

safety

Шиловский

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum