Перейти к содержанию

Шифровальщик. DR WEB сообщил, что это Trojan.Encoder.37400

Andrey-irk
 Поделиться

Рекомендуемые сообщения

Andrey-irk

Andrey-irk

Опубликовано
Опубликовано (изменено)

Здравствуйте. Предположительно с рабочего компьютера через РДП зашифровались файлы на сервере. Все базы 1с, бэкапы, текстовые файлы, изображения, архивы и др.. DR WEB сообщил, что это Trojan.Encoder.37400 и помочь с ним пока что не могут. Есть ли способ расшифровки?

Addition.txt FRST.txt virus_pass_123321.zip

Изменено пользователем Andrey-irk
Добавил файлы
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл ReadMe.hta тоже упакуйте в архив с паролем и прикрепите к следующему сообщению, пожалуйста.

А файл

Цитата

C:\kilook200@gmail.com_Manual.exe

проверьте на www.virustotal.com и покажите ссылку на результат проверки.

И результат проверки (лечения) "доктором" покажите. Можно скриншотом.

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Некоторое время подождите, пробуем определить тип вымогателя.

Но сразу скажу, скорее всего расшифровки нет.

 

7 часов назад, Andrey-irk сказал:

бесплатный касперский сразу ругается

На время отправки на virustotal временно отключите антивирус.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Изменено пользователем Sandor
Andrey-irk

Andrey-irk

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Сделано

Andrey-irk

Andrey-irk

Опубликовано
  • Автор
Опубликовано

Тут такая ситуация возникла.

Заплатили за разшифровку.

Прислали .exe. Этот .exe расшифровывает только файлы небольшого объёма. Про большой объём говорят, что вы их повредили и давайте еще 1.5к баксов.

На руках программа, которая расшифровывает небольшие файлы. Кто может помочь с расшифровкой больших? ) Куда обратиться?

  • 2 недели спустя...
Denis2023

Denis2023

Опубликовано
Опубликовано
02.06.2023 в 08:26, Sandor сказал:

Ответил в ЛС.

А мне можете тоже ответить?
Есть не до конца зашифрованный этим шифровальщиком виртуальный сервер (выключен, диск подцеплен к машине на linux)
В AppData нашел скрипты и софтину, которым шифровали:
Там же, рядом лежит некий файл N-save.sys.
И есть некий файл test.txt, возможно еще один ключ.
N-Save.sys , по содержимому похож на ключ
Restore_Your_Files.txt  
S-2153.bat проверяет наличие и запускает S-8459.vbs
S-6748.bat тут удаляются все теневые копии и в цикле запускается start /d "%SystemDrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" Xinfecter.exe
плюс еще несколько циклов, заданий в планировщике и проверок и в конце скрипта - удаление собственных файлов
S-8459.vbs содержимое на сриншоте
image.thumb.png.20092dee2c5499b5cb5a9a5068dee141.png
в корне диска:

kilook200@gmail.com_Manual.exe  - не запускал, но думаю ничего хорошего )

test.txt содержимое на скрине, возможно ключик

image.png.74c86f83a6416a42f5fbfc123a9775f1.png
R_cfg.ini какой-то конфиг с привязкой к test.txt

image.png.bcc9512e44df6f95a20cb997ad524825.png

Также есть часть файлов, у которых только успели добавить расширение JDB, но не успели зашифровать.

  • 9 месяцев спустя...
safety

safety

Опубликовано
Опубликовано
6 hours ago, Сергей Жобо said:

Здравствуйте!
такой же троян подцепили, решение нашли?

Создайте отдельную тему по вашему обращению.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
    • bl1nchik2287
      [РЕШЕНО] Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
×
×
  • Создать...