Перейти к содержанию

Шифровальщик Trojan.encoder.35534

Воробьёв Максим

От Воробьёв Максим
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Воробьёв Максим Новичок

Воробьёв Максим

Опубликовано
Опубликовано

Имеем 2 сервера физический и виртуальный.
С виртуального примерно осенью переезжали на физический.
Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT  не отработал.
в вложении логи с виртуального сервера и архив с примерами заражённых файлов. Есть еще архив с файлов вируса но он не влезает в сообщение по весу.
 

Addition.txt FRST.txt Профсоюзная.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Боюсь, что и мы ничем не поможем.

Один из файлов с именем Bigspermhorseballs_Decryption.txt прикрепите к следующему сообщению. Попробуем определить тип вымогателя.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хочу уточнить, на большинстве подобных этому форумов помогают одни и те же энтузиасты. Поэтому определитесь, где будете продолжать - здесь или на virusinfo?

 

Записку скиньте (для коллекции), но уже ясно. Это N3ww4v3

Ссылка на комментарий
Поделиться на другие сайты
Воробьёв Максим Новичок

Воробьёв Максим

Опубликовано
  • Автор
Опубликовано

Добрый день.
Да мы написали везде где помогают.
Решения в принципе пока нет ни тут ни там.
Файлик TXT добавляю

Bigspermhorseballs_Decryption.txt

 

При помощи пользователей с virus.info выполнили скрипт по в AVZ  по очистке виртуального сервера.
Дальше по их рекомендации будем обитать тут.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Воробьёв Максим Новичок

Воробьёв Максим

Опубликовано
  • Автор
Опубликовано

После прогона скрипта и перезагрузки виртуалки система перестала грузиться вообще.
Восстановили их бэкапа на 2 дня до, ТАм файлы не зашрфрованы были. 
Уже прогнали KVRT и AVZ удалили всё что нашли.
На физ сервере пока все осталось зашифрованным можем попробовать там, но клиент уже поджимает на восстановление работы.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
6 минут назад, Воробьёв Максим сказал:

клиент уже поджимает на восстановление работы

Если планируете переустановку системы, то выполнять скрипт не нужно. Это только очистка, к восстановлению файлов отношения не имеет.

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@ArkDOS, вы уверены, что тот же?

Для уточнения создайте свою тему и выполните Порядок оформления запроса о помощи

Тут закрыто.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...