goodmorning Шифровальщик. DR WEB сообщил, что это Trojan.Encoder.37400

[Andrey-irk 0]

Здравствуйте. Предположительно с рабочего компьютера через РДП зашифровались файлы на сервере. Все базы 1с, бэкапы, текстовые файлы, изображения, архивы и др.. DR WEB сообщил, что это Trojan.Encoder.37400 и помочь с ним пока что не могут. Есть ли способ расшифровки?

Addition.txt FRST.txt virus_pass_123321.zip

Изменено 29 мая, 2023 пользователем Andrey-irk
Добавил файлы

[Sandor 1 253]

Здравствуйте!

 

Файл ReadMe.hta тоже упакуйте в архив с паролем и прикрепите к следующему сообщению, пожалуйста.

А файл

Цитата

C:\kilook200@gmail.com_Manual.exe

проверьте на www.virustotal.com и покажите ссылку на результат проверки.

И результат проверки (лечения) "доктором" покажите. Можно скриншотом.

[Andrey-irk 0]

На файл C:\kilook200@gmail.com_Manual.exe установленный бесплатный касперский сразу ругается. HEUR:Trojan-Ransom.Win32.Generic

virus_hta_pass_123321.zip cureit.log

[Sandor 1 253]

Некоторое время подождите, пробуем определить тип вымогателя.

Но сразу скажу, скорее всего расшифровки нет.

 

7 часов назад, Andrey-irk сказал:

бесплатный касперский сразу ругается

На время отправки на virustotal временно отключите антивирус.

[Andrey-irk 0]

https://www.virustotal.com/gui/file/76b4b1350af292866fd3cba111c5809453f879e6def4c82b00b8e46ae5e532e2

[Sandor 1 253]

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Изменено 29 мая, 2023 пользователем Sandor

[Andrey-irk 0]

6 минут назад, Sandor сказал:

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Сделано

[Sandor 1 253]

GoodMorning Ransomware. Расшифровки, как и предполагалось нет, к сожалению.

[Andrey-irk 0]

Тут такая ситуация возникла.

Заплатили за разшифровку.

Прислали .exe. Этот .exe расшифровывает только файлы небольшого объёма. Про большой объём говорят, что вы их повредили и давайте еще 1.5к баксов.

На руках программа, которая расшифровывает небольшие файлы. Кто может помочь с расшифровкой больших? ) Куда обратиться?

[Sandor 1 253]

Ответил в ЛС.

[Denis2023 0]

02.06.2023 в 08:26, Sandor сказал:

Ответил в ЛС.

А мне можете тоже ответить?
Есть не до конца зашифрованный этим шифровальщиком виртуальный сервер (выключен, диск подцеплен к машине на linux)
В AppData нашел скрипты и софтину, которым шифровали:
Там же, рядом лежит некий файл N-save.sys.
И есть некий файл test.txt, возможно еще один ключ.
N-Save.sys , по содержимому похож на ключ
Restore_Your_Files.txt  
S-2153.bat проверяет наличие и запускает S-8459.vbs
S-6748.bat тут удаляются все теневые копии и в цикле запускается start /d "%SystemDrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" Xinfecter.exe
плюс еще несколько циклов, заданий в планировщике и проверок и в конце скрипта - удаление собственных файлов
S-8459.vbs содержимое на сриншоте

в корне диска:

kilook200@gmail.com_Manual.exe  - не запускал, но думаю ничего хорошего )

test.txt содержимое на скрине, возможно ключик

R_cfg.ini какой-то конфиг с привязкой к test.txt

Также есть часть файлов, у которых только успели добавить расширение JDB, но не успели зашифровать.

[safety 80]

6 hours ago, Сергей Жобо said:

Здравствуйте!
такой же троян подцепили, решение нашли?

Создайте отдельную тему по вашему обращению.