Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Отчёт Addition.txt получился неполный. При сканировании раздела "Другие области" может создаться впечатление, что программа зависла. На самом деле это не так. Просто наберитесь терпения и дождитесь окончания сканирования. Будут сообщения о сохранении отчётов.

 

Переделайте, пожалуйста.

Опубликовано

Да, теперь верно, спасибо. Некоторое время подождите, коллега ответит.

Опубликовано (изменено)

Если систему сканировали в KVRT, добавьте пожалуйста, папку Reports из данного каталога

2026-03-03 18:02 - 2026-03-03 18:02 - 000000000 ____D C:\KVRT2020_Data
 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-4266679172-3956440942-254586335-500\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\gxj5ip3z2.bmp
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2488661680-701220267-4147538178-1001\...\MountPoints2: {1be93ace-3850-11ea-9f5e-b42e99b348db} - "E:\Run.exe" 
HKU\S-1-5-18\...\Run: [] => [X]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-4266679172-3956440942-254586335-1660\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-4266679172-3956440942-254586335-1660\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKU\S-1-5-21-4266679172-3956440942-254586335-1699\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jabjbhgjaidecageckilhonbggakppme]
CHR HKU\S-1-5-21-4266679172-3956440942-254586335-1699\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
2026-02-24 01:16 - 2026-02-24 01:16 - 004147254 _____ C:\ProgramData\gxj5ip3z2.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Для доп. анализа проверьте ЛС.

Изменено пользователем safety
Опубликовано

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • 2 недели спустя...
Опубликовано

Спасибо! За рекомендации особенно.

Скажите, а есть шанс что расшифровщик может появиться на этот тип? Где можно следить за этим?

Опубликовано (изменено)

Универсальный дешифратор для данного типа - маловероятно, возможно по каким то вариантам/группам могут появиться ключи.

Но в связи с всеобщей коммерциализацией мышления, предоставление ключей в общий доступ, как проявление доброй воли, становится большой редкостью.

Если кто то из злоумышленников решится на подобные действия, напишем об этом здесь на форуме.

Можно сохранить важные зашифрованные документы на отдельный носитель, хотя бы на год.

В этот раз кто-то смог дождаться дешифратора по Phobos после 4 летнего ожидания.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Bek777
      Автор Bek777
      Здравствуйте! Второй комп у бухгалтера поймал шифровальщик. Антивирус на этом компьютере стоит давно с действующей лицензией. В моменте потухла музыка, Касперски показал найден Троян. Компьютер ребутнулся и файлы на раб.столе зашифрованы. Базы в 1С пустые. Многие программы работают. Во вложении отчет с Касперского. Повторной проверкой KVRT зараза не обнаруена. Есть возможность восстановить? Благодарю.

      отчетKes.rar
    • sva_zar
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
×
×
  • Создать...