Перейти к содержанию

Поймали Trojan.Encoder.31074 (Lockbit 3)

Мимохожий
 Поделиться

Рекомендуемые сообщения

Мимохожий

Мимохожий

Опубликовано
Опубликовано

Поймали Trojan.Encoder.31074 (Lockbit 3).
Просим помощи в расшифровке
Файл вируса в архиве имеется.
Убиты все сервера компании.
 

Mimo.rar

safety

safety

Опубликовано
Опубликовано (изменено)

По логам сканирования антивирусов было что-то обнаружено? добавьте, пожалуйста, логи в архиве без пароля.

+

проверьте ЛС.

Изменено пользователем safety
Мимохожий

Мимохожий

Опубликовано
  • Автор
Опубликовано

Антивирус только разворачивался - буквально накануне получили лицензию, и начали инсталляции по серверам.
Успели 3 сервера из 10 окучить :(
Этот, еще два и SYNOLOGY остались без защиты :(((

 

 

Выслал ссылку в ЛС

safety

safety

Опубликовано
Опубликовано

К сожалению, не сможем помочь с расшифровкой по данному типу шифровальщика без приватного ключа.

safety

safety

Опубликовано
Опубликовано (изменено)
теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Мимохожий

Мимохожий

Опубликовано
  • Автор
Опубликовано

Посмотрите личку.
Кажется, удалось найти приватный ключ

safety

safety

Опубликовано
Опубликовано
1 час назад, Мимохожий сказал:

Кажется, удалось найти приватный ключ

Загрузите еще раз, или прикрепите здесь к сообщению.

стоит посмотреть, может он для другого случая подойдет.

  • 6 месяцев спустя...
Мурат Профит

Мурат Профит

Опубликовано
Опубликовано
В 12.11.2024 в 10:43, Мимохожий сказал:

Посмотрите личку.
Кажется, удалось найти приватный ключ

Приветствую, друзья!
Сегодня тоже словили Trojan.Encoder.31074 (Lockbit 3). Есть ли на сегодня действенные инструменты для расшифровки?

safety

safety

Опубликовано
Опубликовано
1 час назад, Мурат Профит сказал:

Сегодня тоже словили Trojan.Encoder.31074 (Lockbit 3). Есть ли на сегодня действенные инструменты для расшифровки?

Создайте, пожалуйста, новое сообщение в данном разделе, добавьте необходимые файлы и логи по правилам.

«Порядок оформления запроса о помощи».

Не пишите в чужом разделе, это запрещено правилами.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      Автор Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • WhiteWizard
      Шифровальщик Trojan.Encoder.31074 (Lockbit 3)
      Автор WhiteWizard
      Вечером случилась атака сразу на три хоста. Тащемта они и слегли. DrWeb сказал что они помочь не могут. Обращаемся к вам с последней надеждой так сказать
      FRST.RAR DATA.RAR
    • delfi89
      Шифровальщик Trojan.Encoder.31074 (Lockbit 3)
      Автор delfi89
      Здравствуйте!

      Компьютер был поражен шифровальщиком Trojan.Encoder.31074 (cureit определил как https://vms.drweb.com/virus/?i=19565964)

      Архив приложил
      LB3.rar - пароль 123, исполняемый файл шифровальщик внутри

      Сервер на windows.
      Взломали, судя по всему, через дыру в безопасности в Coldfusion, т.к. устаревшая версия, которая не получает обновления безопасности.

      Также каким-то образом смогли добавить правила в firewall (rdp закрыт по ip был), создали своего администратора в windows.

      На данный момент процесс, который шифрует файлы - удален. Сам файл оставили, но переименовали.
      Поражены файлы ПО на диске C, часть файлов веб сайтов.

      Windows боюсь перезапускать на случай, если повреждены файлы системы.

      Были бы признательны, если получилось бы помочь в данном вопросе.
      t.zip Addition.txt FRST.txt
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • shilovart
      Шифровальщик Trojan.Encoder.31074
      Автор shilovart
      Поймали шифровальщик, после каких событий произошло тяжело сказать, все началось ночью, перехватили AD, зашифровали все рабочие станции которые были в сети. У файлов добавилось окончание S8fyxRJUX, файл с требованиями не нашли.
      Addition.txt FRST.txt 29-02-2024_10-28-04.zip go_to_G.rar
×
×
  • Создать...