Перейти к содержанию

Trojan.encoder.37506 (#enmity)

Uparoska
 Поделиться

Рекомендуемые сообщения

Uparoska

Uparoska

Опубликовано
Опубликовано

Здраствуйте, словил я троян шифровщик Trojan.encoder.37506 (по мнению Dr. Web). Пробывал различные декодеры с nomoreransom и с noransom.kaspersky, но не один не помог. Не знаю что делать.  На руках помимо зашифрованных и оригинальных файлов имею файл key.secret (оставленный трояном), а так же программа корой зашифровали данные на компе (успел отключить от интернета и ее не успели снести). Есть ли шанс восстановить данные. Помогите пожалуйста!

safety

safety

Опубликовано
Опубликовано (изменено)

gnupg сами ставили?

2024-05-17 14:44 - 2024-05-17 14:47 - 000000000 ____D C:\Users\video\AppData\Roaming\gnupg

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\INFO.txt [2024-05-17] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\INFO.txt [2024-05-17] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-05-17 02:15 - 2024-05-17 02:15 - 000004545 _____ C:\Users\video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\INFO.txt
2024-05-17 02:15 - 2024-05-17 02:15 - 000004545 _____ C:\Users\video\AppData\Roaming\Microsoft\Windows\Start Menu\INFO.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

Сэмпл шифровальщика добавьте в архив с паролем virus, загрузите на облачный диск и дайте ссылка на скачивание в ЛС

 

Расшифровки, к сожалению, по данному типу шифрования нет без приватного ключа. Сохраните важные зашифрованные файлы+ папку с ключом key.secret, возможно в будущем расшифровка станет возможной.

+

проверьте ЛС

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Сэмпл шифровальщика добавьте в архив с паролем virus, загрузите на облачный диск и дайте ссылка на скачивание в ЛС

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PROXY
      Trojan.Encoder.37506
      Автор PROXY
      Здравствуйте. Злоумышленник зашифровал все файлы, включая систему, используя Trojan.Encoder.37506.
      Есть возможность расшифровать данные? Прикладываю архив с несколькими зашифрованными файлами + файл Key.Secret.
      Заранее благодарю!
      virus.zip
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • velykov
      Активность Trojan.Encoder.37448
      Автор velykov
      Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
       
       
      Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

      #HowToRecover.txt t8TcrwidL6.zip
      Addition.txt FRST.txt
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • dsever
      Шифровальщик Trojan.Encoder.35534
      Автор dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
×
×
  • Создать...