Перейти к содержанию

HEUR:Trojan-Ransom.Win32.Generic

Zafod
 Share

Рекомендуемые сообщения

Zafod Новичок

Zafod

Опубликовано
Опубликовано

Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.

1.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
6 часов назад, Zafod сказал:

Произошло шифрование файлом Locker.exe

Хэш этого файла можете сравнить с:

9AD387A2B1D5002147AAAFD1EF89ABCEDC29AF31   ?

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

 

Так понимаю, зашифровано больше устройств чем эти два.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Zafod Новичок

Zafod

Опубликовано
  • Автор
Опубликовано
10 часов назад, safety сказал:

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

Как вытащить файл из карантина KES?

10 часов назад, safety сказал:

Так понимаю, зашифровано больше устройств чем эти два.

Верно.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
4 часа назад, Zafod сказал:

Как вытащить файл из карантина KES?

зайти в функцию карантина, и восстановить файл в папку (обратите внимание, куда будет восстановлен файл, скорее всего у KES нет функции куда восстановить указанный файл, а только в ту папку, откуда он был удален). Возможно, на него будет реагировать антивирус, поэтому защиту надо временно отключить. После архивации файла и загрузки архива на облачный диск, можно опять этот файл  отправить в "расход". И включить защиту.

 

проверил. Хэш другой, по сравнению со случаем от 03.08

AA4B6A653F3F5C2B66D9F5E580FFEFB94C860145

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

При наличие лицензии на продукты Касперского лучше сделать запрос в техническую поддержку, хотя с расшифровкой, скорее всего, не смогут помочь по данному типу шифровальщика.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mapuo__
      HEUR:Trojan.Win32.Generic
      От Mapuo__
      Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

      CollectionLog-2025.02.04-09.33.zip
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      От DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      От foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Anton S
      Шифровальщик HEUR:Trojan-Ransom.Win32.Generic
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
×
×
  • Создать...