не определен Шифровальщик; *.putin; Conti(Meow)?

[Шиловский]

Добрый день.

 

Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).

 

Помогите, пожалуйста.

FRST_logs.zip Samples.zip

[safety]

По типу шифровальщика пока не могу ответить, но явно не MEOW.

 

Если был найден сэмпл шифровальщика, добавьте данный файл в архиве с паролем virus,

Если систему сканировали штатным антивирусом, в KVRT или Cureit, добавьте отчеты по сканированию, в архиве без пароля.

Судя по логам FRST Windef показывает наличие вредоносного процесса:

Цитата

имя: Behavior:Win32/CobaltStrike.J!sms

 

Сделайте дополнительного анализа образ автозапуска.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 16 декабря, 2025 пользователем safety

[Шиловский]

Было выполнено полное сканирование KVRT. Чисто.  Отчеты KVRT(Reports.zip) и лог uVS(1C-VELES_2025-12-16_10-35-28_v5.0.3v x64.7z) во вложении. Исполняемый файл шифровальщика при полном сканировании не обнаружен.

Reports.zip 1C-VELES_2025-12-16_10-35-28_v5.0.3v x64.7z

[safety]

Для дополнительного анализа, проверьте ЛС.

[safety]

Проверьте, что это может  быть за детект:

Цитата

Date: 2025-09-14 04:49:19
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Backdoor:Win64/CobaltStrike!pz
ИД: 2147894794
Серьезность: Критический
Категория: Лазейка
Путь: file:_C:\Users\rpavlushin\Documents\Visual Studio 2017\Templates\ItemTemplates\JavaScript\svchost.exe; file:_C:\Users\Администратор\Downloads\svo.exe; process:_pid:10076,ProcessStart:134022395992458765; process:_pid:12384,ProcessStart:134022602516435081
Начало обнаружения: Локальный компьютер

Если эти файлы сохранились на диске, добавьте в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание.

Изменено 16 декабря, 2025 пользователем safety

[safety]

+ попробуйте выполнить поиск файлов с такими именами:

XTAJIT.DLL

XTAJIT64.DLL

[Шиловский]

...

Изменено 16 декабря, 2025 пользователем Шиловский
удалено, неактуально

[safety]

Для нас любая информация по вашему случаю шифрования будет полезной.

[Шиловский]

1 минуту назад, safety сказал:

Для нас любая информация по вашему случаю шифрования будет полезной.

Не обновил страницу, не видел два ваших ответа выше. Спрашивал, что искать. Ищу.

[Шиловский]

Ничего из перечисленного с диска достать не удалось. Приложить пару - чистый и тот же файл зашифрованный имеет смысл?

[safety]

Да, приложите.

 

Эти файлы тоже не нашлись?
 

Цитата

 

C:\Users\Администратор\Downloads\svo.exe

C:\Users\rpavlushin\Documents\Visual Studio 2017\Templates\ItemTemplates\JavaScript\svchost.exe

 

Может, сохранились в карантине дефендера?

Изменено 17 декабря, 2025 пользователем safety

[Шиловский]

Пара файлов(Pair.zip), оригинальный и шифрованный, во вложении.

 

Ничего нет. Ни в карантине, ни на диске. Возможно, можно достать из фс данные без имени, но понимать бы - как искать.

Pair.zip

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Шиловский]

Спасибо.