c77l Зашифровали данные на компьютере. Прошу помощи в расшифровке

[Алий]

Сегодня обнаружили , что данные на компьютере зашифрованы. Данные очень важны. Прошу помощи в расшифровке. Логи в архиве прикрепляю.

virus.rar

[safety]

Если систему сканировали KVRT или Cureit добавьте отчеты по сканированию в архиве, без пароля.

[Алий]

cureit(3960).rar

 

 

Изменено 22 декабря, 2025 пользователем safety

[safety]

Судя по логах Cureit файлов шифровальщика не обнаружено при сканировании

 

В архиве defender.rar сэмпл шифровальщика? и скорее всего архив создан без пароля. Переделайте архив с паролем virus.

Судя по логам Windef было срабатывание на файловый вирус Neshta,

Цитата

Date: 2025-12-20 16:42:58
Имя: Virus:Win32/Neshta.A

поэтому лучше очистить систему с помощью загрузочного диска KRD

Изменено 22 декабря, 2025 пользователем safety

[Алий]

 

virus.rar

 

В логах Windef есть вирус Ransom

Дата: 20.12.2025 9:02:09

Имя: Ransom:Win64/WannaCry.SLOP!MTB
 

Может он быть причиной проблемы?

Изменено 24 декабря, 2025 пользователем safety

[safety]

Я вас просил сделать это:

Цитата

В архиве defender.rar сэмпл шифровальщика? и скорее всего архив создан без пароля. Переделайте архив с паролем virus.

и это:

Цитата

поэтому лучше очистить систему с помощью загрузочного диска KRD

 

Сделали?

 

Цитата

 

В логах WinDef только это:

Date: 2025-12-20 16:48:17
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Virus:Win32/Neshta.A
ИД: 2147575939
Серьезность: Критический
Категория: Вирус
Путь: file:_F:\RIK\RIKWCONF.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-OSAA74U\Olga

 

 

Изменено 24 декабря, 2025 пользователем safety

[Алий]

Очистка  с помощью загрузочного диска  KRD была сделана

[safety]

В 24.12.2025 в 20:05, Алий сказал:

В логах Windef есть вирус Ransom

Дата: 20.12.2025 9:02:09

Имя: Ransom:Win64/WannaCry.SLOP!MTB
 

Может он быть причиной проблемы?

Возможно что эта запись не попала в логи FRST.

Проверьте, есть ли данная запись в карантине, возможно ли восстановить этот файл. Если файл восстановится, заархивируйте его с паролем virus, архив прикрепите к вашему сообщению, восстановленный файл удалите.

Изменено 25 декабря, 2025 пользователем safety

[Алий]

Восстановление не возможно, Windef удалил файлы вируса

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);