Перейти к содержанию

Шифровальщик .8PbsCcHuo

FreakaFree
 Поделиться

Рекомендуемые сообщения

FreakaFree

FreakaFree

Опубликовано
Опубликовано

Добрый день! Словили шифровальщик с расширением .8PbsCcHuo

Все файлы зашифровало, есть возможность расшифровать?

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Все файлы зашифровало, есть возможность расшифровать?

 

Для начала надо понять с чем вы столкнулись.

 

Добавьте несколько зашифрованных файлов + записку о выкупе в архиве без пароля.

+

необходимы логи FRST из зашифрованной системы

+

если был найден файл шифровальщика, добавьте данный файл в архиве, с паролем virus

 

Изменено пользователем safety
FreakaFree

FreakaFree

Опубликовано
  • Автор
Опубликовано

Прошу прощения, поторопился. Вирус ppn.exe маскировался под KAV Remote Installations. Два файла с расширением .8PbsCcHuo результат шифрования, файла с требованиями не обнаружено.

FRST.txt KAV Remote Installations.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, что злоумышленники задачу с запуском ppn.exe раскидали через консоль сервера управления Касперского.

Логи сейчас проверю.

 

По очистке системы:

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] ВНИМАНИЕ ***
HKLM\...\Policies\system: [legalnoticetext] 1. Не храните и не оставляйте на рабочем столе информацию, содержащую коммерческую тайну, персональные данные,
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
IFEO\EOSnotify.exe: [Debugger] /
IFEO\InstallAgent.exe: [Debugger] /
IFEO\MoNotificationUx.exe: [Debugger] /
IFEO\MusNotification.exe: [Debugger] /
IFEO\MusNotificationUx.exe: [Debugger] /
IFEO\remsh.exe: [Debugger] /
IFEO\SihClient.exe: [Debugger] /
IFEO\UpdateAssistant.exe: [Debugger] /
IFEO\UsoClient.exe: [Debugger] /
IFEO\WaaSMedic.exe: [Debugger] /
IFEO\WaasMedicAgent.exe: [Debugger] /
IFEO\Windows10Upgrade.exe: [Debugger] /
IFEO\Windows10UpgraderApp.exe: [Debugger] /
Edge HKLM\...\Edge\Extension: [jabjbhgjaidecageckilhonbggakppme]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
Edge HKLM-x32\...\Edge\Extension: [jabjbhgjaidecageckilhonbggakppme]
Edge HKLM-x32\...\Edge\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
CHR HKLM\...\Chrome\Extension: [jabjbhgjaidecageckilhonbggakppme]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [jabjbhgjaidecageckilhonbggakppme]
CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
S3 libusb0; system32\drivers\libusb0.sys [X]
U4 nxfs; отсутствует ImagePath
U4 nxpcap; отсутствует ImagePath
U4 nxusbd; отсутствует ImagePath
U4 nxusbh; отсутствует ImagePath
U4 nxusbs; отсутствует ImagePath
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
FreakaFree

FreakaFree

Опубликовано
  • Автор
Опубликовано
18 минут назад, safety сказал:

Возможно, что злоумышленники задачу с запуском ppn.exe раскидали через консоль сервера управления Касперского.

Логи сейчас проверю.

Ну этот факт мы в логах высмотрели. Есть ли возможность расшифровать содеянное, вот в чем вопрос?

safety

safety

Опубликовано
Опубликовано (изменено)

Выше добавил скрипт очистки для FRST, расшифровке это конечно не поможет.

Файл записки о выкупе нашли?

Это может быть одиночный файл:

Может иметь такие имена, если не ошибаюсь с предположением:
 

Цитата

 

README_FOR_DECRYPT*

FOR_DECRYPT*

FOR ADMIN.README

 

Судя по файлу шифровальщика, в конфиге отключено создание записки о выкупе.

Если есть такой файл, добавьте так же и его в ваше сообщение.

+

для доп. информации проверьте ЛС.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n

      Шифрует абсолютно все файлы, включая .exe бэкапы и БД

       
       
      kRvWxoD5n.README.txt файлы пример.7z Addition.txt FRST.txt
    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
    • Andrey1015
      Троян зашифровал файлы на компьютере
      Автор Andrey1015
      Здравствуйте. 
       
      Не понятно как, но на компютере в домене прилетел троян, судя по всему по эл.почте. Учетная запись без прав администратора. Зашиврофали все файлы на локальных дисках и некоторые файлы на сетевых дисках, куда был доступ у данной учетной записи. Файл трояна был удален, назывался как-то "sputnik_...". Во вложении архив с зашифрованными файлами и файлом .txt с требованиями.
       
      files.zip FRST.txt Addition.txt
×
×
  • Создать...