Перейти к содержанию
Задай вопрос Александру Ильину!

Шифровальщик. DR WEB сообщил, что это Trojan.Encoder.37400

Andrey-irk
 Share Подписчики 2

Рекомендуемые сообщения

Andrey-irk

Andrey-irk 0

Опубликовано
Опубликовано (изменено)

Здравствуйте. Предположительно с рабочего компьютера через РДП зашифровались файлы на сервере. Все базы 1с, бэкапы, текстовые файлы, изображения, архивы и др.. DR WEB сообщил, что это Trojan.Encoder.37400 и помочь с ним пока что не могут. Есть ли способ расшифровки?

Addition.txt FRST.txt virus_pass_123321.zip

Изменено пользователем Andrey-irk
Добавил файлы
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Здравствуйте!

 

Файл ReadMe.hta тоже упакуйте в архив с паролем и прикрепите к следующему сообщению, пожалуйста.

А файл

Цитата

C:\kilook200@gmail.com_Manual.exe

проверьте на www.virustotal.com и покажите ссылку на результат проверки.

И результат проверки (лечения) "доктором" покажите. Можно скриншотом.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Некоторое время подождите, пробуем определить тип вымогателя.

Но сразу скажу, скорее всего расшифровки нет.

 

7 часов назад, Andrey-irk сказал:

бесплатный касперский сразу ругается

На время отправки на virustotal временно отключите антивирус.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано (изменено)

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Andrey-irk

Andrey-irk 0

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Сделано

Ссылка на сообщение
Поделиться на другие сайты
Andrey-irk

Andrey-irk 0

Опубликовано
  • Автор
Опубликовано

Тут такая ситуация возникла.

Заплатили за разшифровку.

Прислали .exe. Этот .exe расшифровывает только файлы небольшого объёма. Про большой объём говорят, что вы их повредили и давайте еще 1.5к баксов.

На руках программа, которая расшифровывает небольшие файлы. Кто может помочь с расшифровкой больших? ) Куда обратиться?

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Denis2023

Denis2023 0

Опубликовано
Опубликовано
02.06.2023 в 08:26, Sandor сказал:

Ответил в ЛС.

А мне можете тоже ответить?
Есть не до конца зашифрованный этим шифровальщиком виртуальный сервер (выключен, диск подцеплен к машине на linux)
В AppData нашел скрипты и софтину, которым шифровали:
Там же, рядом лежит некий файл N-save.sys.
И есть некий файл test.txt, возможно еще один ключ.
N-Save.sys , по содержимому похож на ключ
Restore_Your_Files.txt  
S-2153.bat проверяет наличие и запускает S-8459.vbs
S-6748.bat тут удаляются все теневые копии и в цикле запускается start /d "%SystemDrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" Xinfecter.exe
плюс еще несколько циклов, заданий в планировщике и проверок и в конце скрипта - удаление собственных файлов
S-8459.vbs содержимое на сриншоте
image.thumb.png.20092dee2c5499b5cb5a9a5068dee141.png
в корне диска:

kilook200@gmail.com_Manual.exe  - не запускал, но думаю ничего хорошего )

test.txt содержимое на скрине, возможно ключик

image.png.74c86f83a6416a42f5fbfc123a9775f1.png
R_cfg.ini какой-то конфиг с привязкой к test.txt

image.png.bcc9512e44df6f95a20cb997ad524825.png

Также есть часть файлов, у которых только успели добавить расширение JDB, но не успели зашифровать.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • ristrograd
      [РЕШЕНО] Процесс powershell.exe нагружает видеокарту на 100%
      От ristrograd
      С помощью Dr.Web CureIt! находит Tool.btcmine.2405, но не получается его удалить, ибо каждый раз находит его снова. При запуске диспетчера задач или отключения от сети процесс пропадает.
      CollectionLog-2023.09.24-17.28.zip
    • Egor2287172
      Майнер блокирует доступ к avbr
      От Egor2287172
      Уже все перепробовал, майнер не дает ничего открыть, пользователь John появился и запретил всему доступ, скачал FRST, но не знаю как правильно сделать исправление
      FRST.txtAddition.txt
    • Владимир Kh
      Шифровальщик HellCity@Tuta.io
      От Владимир Kh
      Шифровальщик HellCity@Tuta.io зашифровал текстовые файлы, изображения и базы 1с. Расширение HELL у всех этих файлов... Хотелось бы восстановить
       
      12.05.23.ZIP FRST.txt
    • vv3
      Про вирусы и прочее
      От vv3
      1)возможно ли взломать конвертер в котором сперва идет оптоволокно и от этого конвертера идет провод интернета в компьютер напрямую?
      И если да,то возможно  ли что если пк заразился,то вирус может остаться в конвертере,даже если переустановить винду ?
      Просто когда мне интернет устанавливал мастер от провайдера,он сказал мол если заразишься,то минус конвертера в том,что надо будет его "Чистить" , хз че это означает.
      Для примера вот название конвертер   - Медиаконвертер GIGALINK GL-MC-UTPF-SC1F-18SM-1310-N
       
      2)Возможно ли что  если делать загрузочную флешку через офф утилиту Microsoft на зараженном пк,где из антивируса стоит только Windows Defender,то вирус может уже попасть в новую систему при записи?

      3)Существуют ли к примеру вирусы которые могут быть в телефоне и когда будешь обмениваться файлами через Bluetooth ,например с ноутом или другим телефоном,то вирусы перекочуют на новое устройство ?

      4)Возможно самый глупый вопрос который спрошу - Если раздавать интернет с телефона  через точку доступа на устройства - может ли на них попасть вирус?)
      5)Есть ли вирусы на сим картах телефона или могут ли они залезть туда если заразился телефон ?

       
    • Ross
      PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic
      От Ross
      Здравствуйте, решил скачать кряк для Adobe Lightroom, после его установки и "патча" Каспер через несколько минут заругался и нашёл 2 вируса PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic, один из них он определил как Майнер, на диске С появилась папка Google/Chrome/updater.exe на этот 'updater' он и ругался
      кряк я удалил(Adobe GenP 3.0), Каспер начал их удалять, всё получилось в отчётах написано что Generic и Bazon удалены, после этого начал полное сканирование, иногда оно останавливалось на 50 потом на 70 и 90%, но потом продолжал сканирование, это меня смутило, вдруг что-то мог пропустить? Могут ли эти трояны вернуться или как либо подгружаться в систему даже после удаления Каспером? и есть ли возможность полностью проверить систему на отсутствие этих гадов в системе?? Так-же в момент поражения пк этими зловредами в нем находилась флешка, очень важная для работы! Могли ли они как-то перекочевать на нее? Каспером её тоже проверил, он пишет что угроз нет! Прикрепляю отчет мониторинга и отчет Полного сканирования после удаления троянов! Заранее спасибо)
      отчёт мониторинга.txt полная проверка каспер(после удаления).txt
×
×
  • Создать...