xorist Зашифровали файлы на ПК. Тип: CRYPTED! расширение *.ryt

15 января

Здравствуйте!

01.01.2026 зашифровали файлы на домашнем ПК, работающий как сервер. Зашифровали файлы на OneDrive. Удалили содержимое Яндекс.Диск и очистили корзину.

03.01.2026 злоумышленники скинули на жесткий диск декодер, но ключа нет.

Дальше заметил, что из 220 Гб занятого места на диске, осталось 82 Гб информации. Понять не могу, злоумышленники ещё и удалили практически всю информацию!?

15 января

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

15 января

На ПК обнаружил файл образа жесткого диска в папке OneDrive. Далее в папке, которая называется так же как созданная не известная учетная запись, из которой как я подозреваю рабал злоумышленник. Может все мои файлы перевели в образ!? Но болше образов на ПК нет.

Farbar.rar Файлы.rar

15 января

В 15.01.2026 в 15:06, Артём СП сказал:

03.01.2026 злоумышленники скинули на жесткий диск декодер, но ключа нет.

Шифрование давно было? Вы запускали данный файл? Можете скинуть этот файл?

+

Можете предоставить пару чистый - зашифрованный файл?

Изменено 17 января пользователем safety

15 января

Шифрование было 01.01.2026

DECODE.rar 1С ярлыки.rar

15 января

Эти файлы найдите в карантине Windef:

Цитата

Путь: file:_C:\Users\usr\AppData\Local\Temp\Yk4S0pxQ1Y2a6TL.exe; file:_C:\Users\usr\Desktop\12.exe;

Пробуйте восстановить данный файл из карантина

C:\Users\usr\Desktop\12.exe

После восстановления заархивируйте его с паролем virus, архив добавьте в ваше сообщение

Изменено 15 января пользователем safety

15 января

Во время кодирования, антивируса не было.

15 января

20 часов назад, Артём СП сказал:

Во время кодирования, антивируса не было.

Это WinDefender обнаружил в системе.

Windows Defender:
================
Date: 2026-01-02 10:27:02
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
...
Путь: file:_C:\Users\usr\AppData\Local\Temp\Yk4S0pxQ1Y2a6TL.exe; file:_C:\Users\usr\Desktop\12.exe;

здесь 12.exe был запущен с рабочего стола, а Yk4S0pxQ1Y2a6TL.exe был прописан в автозапуск.

Для дополнительного анализа проверьте ЛС

------------

Общие рекомендации:

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 16 января пользователем safety

xorist Зашифровали файлы на ПК. Тип: CRYPTED! расширение *.ryt

Рекомендуемые сообщения

Артём СП

Sandor

Артём СП

safety

Артём СП

safety

Артём СП

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum