Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованы данные на ПК и подключенных к нему сетевых дисках

ТурбоПирожок

Автор ТурбоПирожок
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

ТурбоПирожок

ТурбоПирожок

Опубликовано
Опубликовано

Доброго времени суток. Злоумышленник получил доступ к компьютеру и зашифровал на нём данные. Записку, логи FRST и зашифрованные файлы (два из которых расшифровал сам злоумышленник для демонстрации) прикрепил ниже. Пароль к архиву: virus

ШИФР_ДЕШИФР.7z Addition.txt FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Dосстановите, пожалуйста, файлы 64.exe, и systemkii.exe из карантина, переименуйте данные файлы в *.vexe, добавьте переименованные файлы в архив с паролем virus, загрузите архив в ваше сообщение. После загрузки данные файлы можно удалить.

Изменено пользователем safety
ТурбоПирожок

ТурбоПирожок

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

Dосстановите, пожалуйста, файлы 64.exe, и systemkii.exe из карантина, переименуйте данные файлы в *.vexe, добавьте переименованные файлы в архив с паролем virus, загрузите архив в ваше сообщение. После загрузки данные файлы можно удалить.

Файлы в архиве. Пароль: virus

Вирусы.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Файл шифровальщика:

64.exe. systemki.exe

TrendMicro
Ransom.Win64.SAURON.SMPI

https://www.virustotal.com/gui/file/805ebf2efdc55295289eff342adae101f9b10a80c4444c2518fc8459bf2d9b25/details

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\RunOnce: [93381111-986a-4fdf-85fc-4af51aa99b13] => "C:\Users\admin1\AppData\Local\Temp\{16b06bf2-5ed9-440f-bbcc-1e3eac8ac01d}\93381111-986a-4fdf-85fc-4af51aa99b13.cmd" (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-12-27] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\systemki.exe [2025-12-20] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {1257C78B-041A-4B9B-A77C-D2FE4B72DCB8} - System32\Tasks\{A61B08AD-D827-4782-B769-AFE7676C1707} => C:\Users\admin1\Desktop\x64\Unlocker.exe  (Нет файла)
Task: {B8705546-C052-4BD1-9145-EF86694A44A2} - System32\Tasks\{F1FE429E-B7D1-4D2F-9753-96121140DDDE} => C:\Users\admin1\Desktop\x64\Unlocker.exe  (Нет файла)
2025-12-27 16:43 - 2025-12-27 16:43 - 006220854 _____ C:\ProgramData\@kind_ad.bmp
2025-12-26 22:39 - 2025-12-26 23:31 - 000000000 ____D C:\Users\admin1\Desktop\kin
2025-12-26 21:36 - 2025-12-26 23:31 - 000000000 ____D C:\Users\admin1\Desktop\12
2025-12-26 21:29 - 2025-12-27 01:14 - 000000000 ____D C:\Users\admin1\Desktop\64-bit
2025-12-26 21:28 - 2025-12-26 21:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wise Force Deleter
2025-12-26 21:28 - 2025-12-26 21:28 - 000000000 ____D C:\Program Files (x86)\Wise
2025-12-26 21:27 - 2025-12-02 15:07 - 004664072 _____ (WiseCleaner.com ) C:\Users\admin1\Desktop\WFDSetup_1.5.7.59.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено пользователем safety
ТурбоПирожок

ТурбоПирожок

Опубликовано
  • Автор
Опубликовано (изменено)

Высылаю. Архив загрузил через dropmefiles: *здесь* пароль от архива: virus

Fixlog.txt

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

Для доп. анализа проверьте ЛС

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • R-r-r
      Шифровальщик (перебор rdp)
      Автор R-r-r
      схватил вчера, адрес brunobiden76@gmail.com  и brickscold6@gmail.com  FRST прогнал
      Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com].zip Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip Armguard.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt Addition.txt
    • АлександрЮ
      шифровальщик [ID-9A701949].[Telegram ID @kind_ad].LGJIID
      Автор АлександрЮ
      Систему переустановили ранее, предшественник оставил диск с зашифрованными файлами. Прошу помощи в определении и если получится расшифровке. Вложения - текстовик вируса и в архиве зашифрованные файлы \самого зловреда там нет, поэтому пароль на архив не ставил\
      #HOW-TO-RESTORE-YOUR-FILES.txt buh_Кундряк.rar
    • Gena1589
      Шифровальщик с расширением .BQPEKB семейства Phobos
      Автор Gena1589
      Добрый день
      Словили шифровальщика, зашифровал сервера, включая те которые  были по vpn туннелю, может кто сталкивался с ним? Оставил свой телеграмм, а не почту. Куда копать, чтобы понять с кого и с чего все началось? В одной из папок обнаружил батники, программы взломщика




    • Volos
      Поймали шифровальщик, пострадали 3 компьютера
      Автор Volos
      Зашифрованы файлы на трех компьютерах. Одна из машин теперь не запускается, была запущена полная проверка Касперским. Обнаружены два вредоносных файла (приложил фото).
      Запустил сканирование FRST на другой машине, которая запускается (логи и файлы с требованиями приложил)

       
      файлы.zip Addition.txt FRST.txt
    • s.vetoshkin
      Здравствуйте. Шифровальщик зашифровал файлы помогите пожалуйста расшифровать
      Автор s.vetoshkin
      infected!!!.zip
      Сообщение от модератора thyrex Перенесено в раздел по шифровальщикам
×
×
  • Создать...