Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

01.01.2026 зашифровали файлы на домашнем ПК, работающий как сервер. Зашифровали файлы на OneDrive. Удалили содержимое Яндекс.Диск и очистили корзину.

03.01.2026 злоумышленники скинули на жесткий диск декодер, но ключа нет.

Дальше заметил, что из 220 Гб занятого места на диске, осталось 82 Гб информации. Понять не могу, злоумышленники ещё и удалили практически всю информацию!?

Опубликовано

На ПК обнаружил файл образа жесткого диска в папке OneDrive. Далее в папке, которая называется так же как созданная не известная учетная запись, из которой как я подозреваю рабал злоумышленник. Может все мои файлы перевели в образ!? Но болше образов на ПК нет.

Farbar.rar Файлы.rar

Опубликовано (изменено)
В 15.01.2026 в 15:06, Артём СП сказал:

03.01.2026 злоумышленники скинули на жесткий диск декодер, но ключа нет.

Шифрование давно было? Вы запускали данный файл? Можете скинуть этот файл?

+

Можете предоставить пару чистый - зашифрованный файл?

Изменено пользователем safety
Опубликовано (изменено)

Эти файлы найдите в карантине Windef:

Цитата

Путь: file:_C:\Users\usr\AppData\Local\Temp\Yk4S0pxQ1Y2a6TL.exe; file:_C:\Users\usr\Desktop\12.exe;

Пробуйте восстановить данный файл из карантина

C:\Users\usr\Desktop\12.exe

После восстановления заархивируйте его с паролем virus, архив добавьте в ваше сообщение

Изменено пользователем safety
Опубликовано

Во время кодирования, антивируса не было. 

Опубликовано (изменено)
20 часов назад, Артём СП сказал:

Во время кодирования, антивируса не было. 

Это WinDefender обнаружил в системе.

 

Windows Defender:
================
Date: 2026-01-02 10:27:02
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
...
Путь: file:_C:\Users\usr\AppData\Local\Temp\Yk4S0pxQ1Y2a6TL.exe; file:_C:\Users\usr\Desktop\12.exe;

 

здесь 12.exe был запущен с рабочего стола, а Yk4S0pxQ1Y2a6TL.exe был прописан в автозапуск.

 

Для дополнительного анализа проверьте ЛС

------------

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ultimuver
      Автор Ultimuver
      Здравствуйте! У коллеги вирус зашифровал большой объем информации на переносном жестком диске, а внутренний она уже успела отформатировать. Посоветуйте что теперь с этим делать? Для анализа имеется зашифрованные файлы, оригинал одного из зашифрованных файлов, текстовое сообщение вымогателей и архивный фаил, с которого по словам человека все началось.
       
      Зашифрованный фаил в формате mp3
      Оригинальный фаил в формате mp3
      Текстовый фаил созданный вирусом
       
      Личный анализ показал, что данный вирус(шифратор) довольно хитро устроен. Он шифрует лишь половину файла, а остальную часть оставляет не измененной. zip и rar архивы открываются, но информация в них повреждена! Вот один из примеров:
       
      Зашифрованный архивный фаил
       
      Заранее благодарю!
       

      Строгое предупреждение от модератора Mark D. Pearlstone Вредоносные файлы на форум прикреплять не нужно. Ссылка удалена.
    • Артемий Гареев
      Автор Артемий Гареев
      Лог AutoLogger + зараженные файлы https://dropmefiles.com/qf4mR пароль wRdxOg

      Farbar Recovery Scan Tool
      CollectionLog-2015.09.22-23.07.zip
      Addition.txt
      FRST.txt
    • АртемВ
      Автор АртемВ
      Доброго времени суток. Прошу помощи....
       
      У меня точно же такая ситуация.... принесли ноут (родственники), на диске D все файлы с расширением txt, doc, rtf, zip, rar, pdf, pps, jpg, bmp, gif, htm, wav, mp3..... зашифрованы с расширением  .7Kf9uY, в каждой папочке текстовый файл с содержанием:
       
      Увидев переписку в данной теме, появилась надежда на восстановление... Поделитесь утилитой.
      Парочку зашифрованных файлов прилагаю.
       
      0.zip
    • Gadzhega
      Автор Gadzhega
      Здравствуйте. Сегодня на работе человек поймал такой-же вирус. Не стал создавать новую тему. Прошу вашей помощи в лечении. Опишите, пожалуйста какую информацию предоставить для того чтоб я мог расшифровать все эти файлы.
       

      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • Volkov
      Автор Volkov
      @thyrex,
      День добрый!
      у меня проблема один в один как у " nov_77 ", заражен Пк, был 2 дня назад. Спасибо за внимание

      CollectionLog-2015.09.13-16.52.zip
      Addition.txt
      FRST.txt
      Fixlog.txt
×
×
  • Создать...