Перейти к содержанию

Шифровальщик Trojan.encoder.35534

Воробьёв Максим

Автор Воробьёв Максим,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 2

Рекомендуемые сообщения

Воробьёв Максим

Воробьёв Максим 1

Опубликовано
Опубликовано

Имеем 2 сервера физический и виртуальный.
С виртуального примерно осенью переезжали на физический.
Сегодня обнаружили что данные на физическом и виртуальном сервере зашифрованы. шифровальщик меняет расширение файлов.
Прислали образец файлов в доктор вэб там определили его как Trojan.encoder.35534 и дешифратора нет.
Прошлись KVRT по физическому серверу обнаруженные вирусы поместили в карантин и там нейтрализовали. На виртуальном KVRT  не отработал.
в вложении логи с виртуального сервера и архив с примерами заражённых файлов. Есть еще архив с файлов вируса но он не влезает в сообщение по весу.
 

Addition.txt FRST.txt Профсоюзная.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Здравствуйте!

 

Боюсь, что и мы ничем не поможем.

Один из файлов с именем Bigspermhorseballs_Decryption.txt прикрепите к следующему сообщению. Попробуем определить тип вымогателя.

Ссылка на сообщение
Поделиться на другие сайты
Воробьёв Максим

Воробьёв Максим 1

Опубликовано
  • Автор
Опубликовано

Понятно. Завтра с физического сервера снимать логи будем и поищем этот  файл.
Спасибо.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Хочу уточнить, на большинстве подобных этому форумов помогают одни и те же энтузиасты. Поэтому определитесь, где будете продолжать - здесь или на virusinfo?

 

Записку скиньте (для коллекции), но уже ясно. Это N3ww4v3

Ссылка на сообщение
Поделиться на другие сайты
Воробьёв Максим

Воробьёв Максим 1

Опубликовано
  • Автор
Опубликовано

Добрый день.
Да мы написали везде где помогают.
Решения в принципе пока нет ни тут ни там.
Файлик TXT добавляю

Bigspermhorseballs_Decryption.txt

 

При помощи пользователей с virus.info выполнили скрипт по в AVZ  по очистке виртуального сервера.
Дальше по их рекомендации будем обитать тут.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Воробьёв Максим

Воробьёв Максим 1

Опубликовано
  • Автор
Опубликовано

После прогона скрипта и перезагрузки виртуалки система перестала грузиться вообще.
Восстановили их бэкапа на 2 дня до, ТАм файлы не зашрфрованы были. 
Уже прогнали KVRT и AVZ удалили всё что нашли.
На физ сервере пока все осталось зашифрованным можем попробовать там, но клиент уже поджимает на восстановление работы.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано
6 минут назад, Воробьёв Максим сказал:

клиент уже поджимает на восстановление работы

Если планируете переустановку системы, то выполнять скрипт не нужно. Это только очистка, к восстановлению файлов отношения не имеет.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
Sandor

Sandor 1 131

Опубликовано
Опубликовано

@ArkDOS, вы уверены, что тот же?

Для уточнения создайте свою тему и выполните Порядок оформления запроса о помощи

Тут закрыто.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Сергей Лукьянов
      Шифровальщик HONEYHORSELIKESMONEY
      От Сергей Лукьянов
      Добрый день!
       
      Шифровальщик HONEYHORSELIKESMONEY зашифровал файлы в папке на компьютере, которая была доступна в сети для чтения и записи.
      Высылаю архив с зашифрованными двумя файлами, и их оригиналами (смог найти на компьютере), а так же письмо вымогателя.
       
      Пытался восстановить файлы разными расшифровщиками.
      Расшифровать смог только decrypt_Avest от Emsisoft https://www.emsisoft.com/en/ransomware-decryption/avest, но, к сожалению, только первые 384 байта, и только того файла, который я ему передал, как образец для подбора ключа.
       
      Так как вирус не на моем компьютере, то логи не высылаю.
      HONEYHORSELIKESMONEY.zip
    • Maksim24
      Все зашифровано в Lnk
      От Maksim24
      Здравствуйте, появилась огромфайлы и письмо.rarная проблема, в лице зашифрованных файлов. Очень нужна помощь.
    • adant
      Расшифровать файлы с расширением Indianguy
      От adant
      Доброго дня !
      Вирус зашифровал файлы добавив к ним расширение indianguy
      Что делать?
      Addition_20-03-2023 15.58.55.txt FRST_20-03-2023 15.58.55.txt INDIANGUY_DECRYPTION.txt Поздравления.rar
    • Автошкола
      Касперский бессилен перед HONEYHORSELIKESMONEY
      От Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Все активировано, защита включена!
      Вопрос к разработчикам касперского - как так?
      Почему на машине с касперским простейшая задача не отработала?
      Нужна ли такая защита?
    • evgviso
      Вирус-вымогатель HONEYHORSELIKESMONEY
      От evgviso
      Здравствуйте!
       
      Вчера подвергся воздействию вируса-вымогателя HONEYHORSELIKESMONEY. Резервные копии файлов делаю, но за последние 4-5 дней копии не делались. За это время много работал с двумя документами. Можете ли помочь с восстановлением 2х файлов?
       
      Ссылки на файлы (прикрепить не удалось. Загрузил на google-диск):
       
      Пример закодированного файла:  моторка 02 new.dip.HONEYHORSELIKESMONEY
      https://drive.google.com/file/d/142FrCo1ZjjJJtmBneBX3FV5bRcpi31IB/view?usp=share_link
       
      Письмо вымогателей ATTENION_NEED_TO_PAY.txt  
      https://drive.google.com/file/d/1Y3sjqkX1SuibY-YTB--FUl3D2qRZxuKf/view?usp=share_link
       
      Логи, собранные Farbar Recovery Scan Tool
      Addition.txt
      https://drive.google.com/file/d/1nk7RrrLE55AXYMmEkwNMv9noucqgyRvA/view?usp=sharing
      FRST.txt
      https://drive.google.com/file/d/1RckFC-nr4Pjw_oLfYnJNLG7aY479bB3T/view?usp=share_link
×
×
  • Создать...