Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

 

Прошу помощи с расшифровкой файлов после Trojan.Encoder.31074, он же Lockbit 3

После заражения система загружается и работает, хотя и с ошибками.

Файл шифровальщика найти не удалось.

Прилагаю логи Farbar Recovery Scan Tool и архив с двумя маленькими зашифрованными файлами и запиской о выкупе.

Addition.txt Cript.rar FRST.txt

Опубликовано

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yAdwC6fWU.README.txt [2024-05-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\yAdwC6fWU.README.txt [2024-05-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-05-04 18:35 - 2023-03-31 13:52 - 000001832 _____ C:\Users\Administrator\advanced_ip_scanner_MAC.bin
2024-05-04 18:35 - 2023-03-31 13:52 - 000000015 _____ C:\Users\Administrator\advanced_ip_scanner_Comments.bin
2024-05-04 18:35 - 2023-03-31 13:52 - 000000015 _____ C:\Users\Administrator\advanced_ip_scanner_Aliases.bin
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Добавьте папку C:\FRST\Quarantine в архив с паролем virus, загрузите архив на облачный диск, дайте ссылку на скачивание в ЛС.

 

+

проверьте ЛС.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Andrew Vi Ch
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • shilovart
      Автор shilovart
      Поймали шифровальщик, после каких событий произошло тяжело сказать, все началось ночью, перехватили AD, зашифровали все рабочие станции которые были в сети. У файлов добавилось окончание S8fyxRJUX, файл с требованиями не нашли.
      Addition.txt FRST.txt 29-02-2024_10-28-04.zip go_to_G.rar
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • WhiteWizard
      Автор WhiteWizard
      Вечером случилась атака сразу на три хоста. Тащемта они и слегли. DrWeb сказал что они помочь не могут. Обращаемся к вам с последней надеждой так сказать
      FRST.RAR DATA.RAR
    • delfi89
      Автор delfi89
      Здравствуйте!

      Компьютер был поражен шифровальщиком Trojan.Encoder.31074 (cureit определил как https://vms.drweb.com/virus/?i=19565964)

      Архив приложил
      LB3.rar - пароль 123, исполняемый файл шифровальщик внутри

      Сервер на windows.
      Взломали, судя по всему, через дыру в безопасности в Coldfusion, т.к. устаревшая версия, которая не получает обновления безопасности.

      Также каким-то образом смогли добавить правила в firewall (rdp закрыт по ip был), создали своего администратора в windows.

      На данный момент процесс, который шифрует файлы - удален. Сам файл оставили, но переименовали.
      Поражены файлы ПО на диске C, часть файлов веб сайтов.

      Windows боюсь перезапускать на случай, если повреждены файлы системы.

      Были бы признательны, если получилось бы помочь в данном вопросе.
      t.zip Addition.txt FRST.txt
×
×
  • Создать...