zeppelin Вирус шифровальщик

[BadboyNe]

Добрый день поймал шифровальщика. Помогите расшифровать это дело пожалуйста.    

!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

[safety]

добавьте несколько небольших зашифрованных файлов в архиве, без пароля

+ добавьте логи FRST (FRST.txt и Addition.txt) из зашифрованной системы.

[BadboyNe]

1.rar

FRST.txtAddition.txt

[safety]

Ваш файл?

2026-06-24 04:22 - 2026-06-24 04:21 - 011849245 _____ C:\LaZagne.exe

Систему проверьте с помощью KVRT, Cureit или штатным антивирусом. Логи проверки добавьте в архиве, без пароля.

 

Судя по файлам, записке о выкупе это Zeppelin, расшифровать файлы не сможем помочь.

[BadboyNe]

А мы являемся вашими клиентами. У нас касперский подписка постоянная. К кому тогда обращаться с расшифровкой и возможно ли это?

Запустил проверку. Жду, как пройдет скину лог

 

Подскажите где взять лог от KVRT?

 

Изменено 17 часов назад пользователем BadboyNe

[Sandor]

1 минуту назад, BadboyNe сказал:

где взять лог от KVRT?

https://support.kaspersky.ru/kvrt2020/howto

 

15 минут назад, BadboyNe сказал:

мы являемся вашими клиентами

 

Создайте параллельно запрос в тех-поддержку:

https://support.kaspersky.ru/b2b/#contacts

[BadboyNe]

 

report_2026.06.24_12.20.25.klr.rar

[safety]

3 часа назад, safety сказал:

Ваш файл?

2026-06-24 04:22 - 2026-06-24 04:21 - 011849245 _____ C:\LaZagne.exe

На этот вопрос не ответили.

 

LaZagne - это приложение с открытым исходным кодом, используемое для получения множества паролей, сохранённых на локальном компьютере

[BadboyNe]

нет не мой((( они все пароли слили

 

[safety]

В этих файлах посмотрите что есть:

2026-06-24 04:22 - 2026-06-24 04:22 - 000000577 _____ C:\WINDOWS\system32\credentials_24062026_042231.txt

2026-06-24 01:35 - 2026-06-24 01:35 - 000000577 _____ C:\WINDOWS\system32\credentials_24062026_013500.txt

2026-06-24 00:43 - 2026-06-24 00:44 - 000010985 _____ C:\WINDOWS\system32\credentials_24062026_004354.txt

и в этой папке:

2026-06-24 00:37 - 2026-06-24 03:59 - 000000000 ___SD C:\Users\admin212\AppData\Roaming\Microsoft\Credentials

 

14 минут назад, BadboyNe сказал:

нет не мой((( они все пароли слили

Странно, что сканер не увидел этот файл

[BadboyNe]

credentials_24062026_042231.txtcredentials_24062026_013500.txtcredentials_24062026_004354.txt

[safety]

Да, это их файлы:

|====================================================================|
|                                                                    |
|                        The LaZagne Project                         |
|                                                                    |
|                          ! BANG BANG !                             |
|                                                                    |
|====================================================================|

- Date: 2026-06-23 22:35:01
- Username: test
- Hostname:Adm***

Основная инфо загружено в третьем файле

 

Что именно может найти LaZagne?

Очень многое. Вот лишь краткий список категорий, из которых он умеет извлекать пароли:

Браузеры: Chrome, Firefox, Edge, Opera, Brave и другие.

Wi-Fi: сохранённые ключи беспроводных сетей.

Почта: Outlook, Thunderbird, Foxmail.

Базы данных: SQL Server, PostgreSQL, MySQL и SQLite.

SSH/FTP: FileZilla, WinSCP, PuTTY и аналоги.

Мессенджеры: Pidgin, Psi, Discord (ограниченно).

Системные хранилища: Windows Credential Manager, DPAPI, SAM-база.

 

Другими словами, если вы когда-то нажали «Сохранить пароль» — скорее всего, LaZagne его найдёт.

https://www.securitylab.ru/blog/personal/SimlpeHacker/355269.php

 

Для доп. анализа проверьте ЛС

Изменено 14 часов назад пользователем safety

[BadboyNe]

это я понял еще утром. По этому и паника у меня