Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал шифровальщика (предположительно Trojan.Encoder.37448)

trambler3
 Поделиться

Рекомендуемые сообщения

trambler3

trambler3

Опубликовано
Опубликовано

1. ОС переустановлена т.к. необходимо рабочее место.

2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 

F.7z

Ссылка на комментарий
Поделиться на другие сайты
trambler3

trambler3

Опубликовано
  • Автор
Опубликовано
13 часов назад, safety сказал:

Мало информации. Зашифрованные файлы откуда взяли? Какое устройство переустановили?

Windows 10 на пользовательском ПК через который предположительно и была атака.

Файлы зашифрованные с "шары", о которой писал выше.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
Цитата

Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3"

В логам сканирования сервера должно быть запись об обнаружении данного ransomware. Проверьте что есть в логах сканирования на сервере, и добавьте логи FRST с сервера.

AA_v3 - это скорее всего утилита для удаленного доступа Ammyy Admin

Ссылка на комментарий
Поделиться на другие сайты
Ч_Александр

Ч_Александр

Опубликовано
Опубликовано (изменено)

Аналогичная ситуация.
Есть скрин. Чел нечаянно очистил все и вся.
DRWEB ответил  Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

Вашими силами возможна?

Скрин.png

Изменено пользователем Ч_Александр
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Ч_Александр сказал:

Аналогичная ситуация.

Отдельную тему создайте в данном разделе, там и будем разбираться. Здесь не пишите больше.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Nibug
      Предположительно Lockbit зашифровал файлы
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...