Перейти к содержанию

Шифровальщик. DR WEB сообщил, что это Trojan.Encoder.37400

Andrey-irk
 Поделиться

Рекомендуемые сообщения

Andrey-irk

Andrey-irk

Опубликовано
Опубликовано (изменено)

Здравствуйте. Предположительно с рабочего компьютера через РДП зашифровались файлы на сервере. Все базы 1с, бэкапы, текстовые файлы, изображения, архивы и др.. DR WEB сообщил, что это Trojan.Encoder.37400 и помочь с ним пока что не могут. Есть ли способ расшифровки?

Addition.txt FRST.txt virus_pass_123321.zip

Изменено пользователем Andrey-irk
Добавил файлы
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл ReadMe.hta тоже упакуйте в архив с паролем и прикрепите к следующему сообщению, пожалуйста.

А файл

Цитата

C:\kilook200@gmail.com_Manual.exe

проверьте на www.virustotal.com и покажите ссылку на результат проверки.

И результат проверки (лечения) "доктором" покажите. Можно скриншотом.

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Некоторое время подождите, пробуем определить тип вымогателя.

Но сразу скажу, скорее всего расшифровки нет.

 

7 часов назад, Andrey-irk сказал:

бесплатный касперский сразу ругается

На время отправки на virustotal временно отключите антивирус.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Изменено пользователем Sandor
Andrey-irk

Andrey-irk

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Спасибо!

Ещё просьба, упакуйте этот файл в архив с паролем, выложите на файлообменник (или облако) и ссылку на него отправьте мне личным сообщением, пожалуйста.

Сделано

Andrey-irk

Andrey-irk

Опубликовано
  • Автор
Опубликовано

Тут такая ситуация возникла.

Заплатили за разшифровку.

Прислали .exe. Этот .exe расшифровывает только файлы небольшого объёма. Про большой объём говорят, что вы их повредили и давайте еще 1.5к баксов.

На руках программа, которая расшифровывает небольшие файлы. Кто может помочь с расшифровкой больших? ) Куда обратиться?

  • 2 недели спустя...
Denis2023

Denis2023

Опубликовано
Опубликовано
02.06.2023 в 08:26, Sandor сказал:

Ответил в ЛС.

А мне можете тоже ответить?
Есть не до конца зашифрованный этим шифровальщиком виртуальный сервер (выключен, диск подцеплен к машине на linux)
В AppData нашел скрипты и софтину, которым шифровали:
Там же, рядом лежит некий файл N-save.sys.
И есть некий файл test.txt, возможно еще один ключ.
N-Save.sys , по содержимому похож на ключ
Restore_Your_Files.txt  
S-2153.bat проверяет наличие и запускает S-8459.vbs
S-6748.bat тут удаляются все теневые копии и в цикле запускается start /d "%SystemDrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" Xinfecter.exe
плюс еще несколько циклов, заданий в планировщике и проверок и в конце скрипта - удаление собственных файлов
S-8459.vbs содержимое на сриншоте
image.thumb.png.20092dee2c5499b5cb5a9a5068dee141.png
в корне диска:

kilook200@gmail.com_Manual.exe  - не запускал, но думаю ничего хорошего )

test.txt содержимое на скрине, возможно ключик

image.png.74c86f83a6416a42f5fbfc123a9775f1.png
R_cfg.ini какой-то конфиг с привязкой к test.txt

image.png.bcc9512e44df6f95a20cb997ad524825.png

Также есть часть файлов, у которых только успели добавить расширение JDB, но не успели зашифровать.

  • 9 месяцев спустя...
safety

safety

Опубликовано
Опубликовано
6 hours ago, Сергей Жобо said:

Здравствуйте!
такой же троян подцепили, решение нашли?

Создайте отдельную тему по вашему обращению.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
    • Vyatka
      Майнер и возможно руткит
      Автор Vyatka
      Добрый день. На ноутбуке заметил просадку фпс в играх.  Заметил нагрузку на процессор (спадает спустя секунду), вентиляторы вообще не крутились.
      Переустановил систему. После переустановки нагрузка на процессор осталась и вентиляторы начали крутить в отсечку.
      Также судя по всему в системе прописан скрытый администратор.
      После неудачных попыток вернуть контроль над ноутбуком, решил проверить рабочий пк (пишу с него). На рабочем пк обнаружилась та же проблема.
      Логи прикрепляю.
      CollectionLog-2025.10.03-15.40.zip
    • Матвей_123
      [РЕШЕНО] Вирус после использования KMS Auto
      Автор Матвей_123
      Вирус в папке ProgramData, создает папку qhpxndiguijf. Началось после того, как хотел полноCollectionLog-2025.09.25-12.14.zipCollectionLog-2025.09.25-12.14.zipстью удалить старый офис на ноутбуке через KMS Auto. Файл логов прикладываю. Помогите, пожалуйста, ноутбук рабочий, не могу полностью сносить виндовс, заранее спасибо
    • EvgeniyPoluchil
      DPC:PowerShell.AVKILL.10
      Автор EvgeniyPoluchil
      Здравствуйте, dr.web начал находить каждые 10-15 секунд угрозу под названием DPC:PowerShell.AVKILL.10, при этом иногда в уведомлении появляется некий троян и сразу же исчезает. Дополнительно было замечено, что подгрузка при включении аппарата увеличилась, так и с ОЗУ.CollectionLog-2025.09.25-00.00.zip
    • Fiadosiy
      вирус
      Автор Fiadosiy
      поймал вирус, жрет процессор а ДЗ не показывается думал на майнер доктор вроде удалил антивирусники не видят но запускаются 
       
      CollectionLog-2025.09.23-17.39.zip
×
×
  • Создать...