Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Проникли через RDP и зашифровали файлы с расширением *.Pa1avswp.  Есть ли шанс дешифровать файлы? 

Отчет FRST:

FRST.txtShortcut.txtAddition.txt

+ послание:

HowToRecover.txt

drwebcureit перезапускал несколько раз, отчет от 1 раза перезаписан на последний, его надо приложить?

Опубликовано (изменено)

Добавьте лог Cureit в архиве, без пароля + несколько зашифрованных файлов.

 

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Restriction <==== ATTENTION
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
Startup: C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C.lnk [2026-01-25]
ShortcutTarget: 1C.lnk -> C:\ProgramData\TEMP\1С.vbs (No File)
GroupPolicy: Restriction ? <==== ATTENTION
2026-03-25 15:41 - 2026-03-25 16:31 - 000000676 _____ C:\Users\Ольга\Desktop\ss.txt
2026-03-25 15:39 - 2026-03-25 15:41 - 285583160 _____ C:\Users\Ольга\Desktop\74nqde50.com
2026-03-25 15:38 - 2026-03-25 15:38 - 009109558 _____ C:\ProgramData\5020541A48F4895F.bmp
2026-03-17 21:59 - 2026-03-25 15:16 - 000000000 ____D C:\Users\Ольга\Documents\x64-Release
2026-03-17 21:55 - 2026-03-25 15:16 - 000000000 ____D C:\Users\Ольга\Documents\Mimitz
2026-03-17 21:54 - 2026-03-25 15:16 - 000000000 ____D C:\Users\Ольга\Documents\x64
2026-03-17 21:49 - 2026-03-25 15:16 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2026-03-17 21:49 - 2026-03-17 21:49 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено пользователем safety
Опубликовано (изменено)

Для доп. анализа проверьте ЛС.

------------

С расшифровкой файлов по данному типу не сможем помочь.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Антон.Б
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • tentacruel74
      Автор tentacruel74
      Поймали на ПК шифровальщик протон вроде как, можно ли восстановить данные?
      Пароль на архив virusFRST_22-06-2026 14.24.59.txtAddition_22-06-2026 15.17.29.txt
      123.rar
    • Bek777
      Автор Bek777
      Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.
      FRST.rarHowToRecover.rar
    • Игорь11222
      Автор Игорь11222
      Сегодня в ночь зашивровались некоторые файлы, кроме зашифрованных файлов и тектовых документов с требованиями ничего в системе не обнаружено. Файлы зашифровались не все, с 22:00 началось шифрование файлов, в 3:08 оно остановилось. Антивирус никакх угроз не обнаружил
      Addition.txt FRST.txt в.zip
    • lda
      Автор lda
      Доброй ночи! Зашифровали компьютеры сети, похоже на Mimic. На одном из компьютеров, откуда скорей всего производили запуск, нашел папочку mimic, ее прикладываю. Архив encrypted с зашифрованным файлами с этого же компа, dunay-ut - с компа из сети. Прошу оказать помощь в расшифровке. Заранее благодарен
      dunay-ut.rar Mimik.rar encrypted.rar
×
×
  • Создать...