Перейти к содержанию

Поймал шифровальщика (предположительно Trojan.Encoder.37448)


Рекомендуемые сообщения

1. ОС переустановлена т.к. необходимо рабочее место.

2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 

F.7z

Ссылка на комментарий
Поделиться на другие сайты

13 часов назад, safety сказал:

Мало информации. Зашифрованные файлы откуда взяли? Какое устройство переустановили?

Windows 10 на пользовательском ПК через который предположительно и была атака.

Файлы зашифрованные с "шары", о которой писал выше.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3"

В логам сканирования сервера должно быть запись об обнаружении данного ransomware. Проверьте что есть в логах сканирования на сервере, и добавьте логи FRST с сервера.

AA_v3 - это скорее всего утилита для удаленного доступа Ammyy Admin

Ссылка на комментарий
Поделиться на другие сайты

Аналогичная ситуация.
Есть скрин. Чел нечаянно очистил все и вся.
DRWEB ответил  Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

Вашими силами возможна?

Скрин.png

Изменено пользователем Ч_Александр
Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, Ч_Александр сказал:

Аналогичная ситуация.

Отдельную тему создайте в данном разделе, там и будем разбираться. Здесь не пишите больше.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ч_Александр
      Автор Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • Sergey Bondarev
      Автор Sergey Bondarev
      Здравствуйте! Нас взломали, пока не пойму как, разбираюсь. После себя хакеры подчистили все файлы и логи. Отправляю Вам: на пробу несколько зашифрованных файлов, результаты работы программы Farbar Recovery Scan Tool И письмо от хакеров. Спасибо _files.rar
    • Сергей100
      Автор Сергей100
      Здравствуйте. Полагаю, что вирус маскируется под dwm.exe. В диспетчере задач данных процессов два. Грузит ЦП и ПК не переходит в режим сна, только гаснет экран. При отключении одного из этих процессов ПК уходит в сон, но после скрипт вируса видимо перезагружается. Прошу помочь удалить данный вирус.
      CollectionLog-2025.03.26-03.50.zip
    • barkalova
      Автор barkalova
      Поймали шифровальщик gatilavtuz@msg на рабочую машину,  попросили за дешифровку 400 000р! Есть ли какой то способ вернуть файлы? помогите!
      Addition.txt FRST.txt Desktop.rar
    • dampe
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
×
×
  • Создать...