Перейти к содержанию

Поймал шифровальщика (предположительно Trojan.Encoder.37448)

trambler3
 Поделиться

Рекомендуемые сообщения

trambler3

trambler3

Опубликовано
Опубликовано

1. ОС переустановлена т.к. необходимо рабочее место.

2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 

F.7z

safety

safety

Опубликовано
Опубликовано

Мало информации. Зашифрованные файлы откуда взяли? Какое устройство переустановили?

trambler3

trambler3

Опубликовано
  • Автор
Опубликовано
13 часов назад, safety сказал:

Мало информации. Зашифрованные файлы откуда взяли? Какое устройство переустановили?

Windows 10 на пользовательском ПК через который предположительно и была атака.

Файлы зашифрованные с "шары", о которой писал выше.

safety

safety

Опубликовано
Опубликовано
Цитата

Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3"

В логам сканирования сервера должно быть запись об обнаружении данного ransomware. Проверьте что есть в логах сканирования на сервере, и добавьте логи FRST с сервера.

AA_v3 - это скорее всего утилита для удаленного доступа Ammyy Admin

Ч_Александр

Ч_Александр

Опубликовано
Опубликовано (изменено)

Аналогичная ситуация.
Есть скрин. Чел нечаянно очистил все и вся.
DRWEB ответил  Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

Вашими силами возможна?

Скрин.png

Изменено пользователем Ч_Александр
safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Ч_Александр сказал:

Аналогичная ситуация.

Отдельную тему создайте в данном разделе, там и будем разбираться. Здесь не пишите больше.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      Автор Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • dsever
      Шифровальщик Trojan.Encoder.35534
      Автор dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • Raain
      Шифровальщик Trojan.Encoder.35621
      Автор Raain
      Добрый день.
       
      2 дня назад столкнулся с шифровальщиком Trojan.Encoder.35621 (так он идентифицируется онлайн сканерами), атаку заметили и успели выключить часть оборудования, но троян успел зашифровать определенное множество файлов, все они имеют расширение .S8fyxRJUX
       
      На серверах и рабочих станциях стоял kaspersky endpoint security, но злоумышленнику удалось его отключить и запустить троян в сеть.
       
      Вероятно, из-за того, что троян до конца не доработал, записка с текстом о выкупе нигде не обнаружена.
      Попытки дешифровать через все известные мне сервисы успехом не увенчались.
       
      В архиве sample.rar пример зашифрованных файлов
      В архиве virus.rar (пароль infected) тело вируса и батник, который был к нему в комплекте
      В архиве diag.rar файлы, полученные из Farbar Recovery Scan Too
       
      Прошу помочь в решение вопроса, или подсказать где можно найти рабочие инструменты для дешифровки , может у кого-то есть дешифраторы для этой категории троянов?
      virus.rar Diag.rar sample.rar
×
×
  • Создать...