Перейти к содержанию

Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506

DmitriyDy
 Поделиться

Рекомендуемые сообщения

DmitriyDy Новичок

DmitriyDy

Опубликовано
Опубликовано

ПК на Windows11, Windows 10, Windows 7
Примерная дата шифрования с 17.01.2025
На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)

 

Ответ поддержки Dr.Web: 

В данном случае файл зашифрован Trojan.Encoder.37506.
Расшифровка нашими силами невозможна

 

Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan

Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

папка есть на пострадавших ПК?

C:\RSADecryptKey

или

C:\KeyForFiles

или

C:\Keylock

----------

Да, вижу по логу FRST:

2025-01-19 00:19 - 2025-01-19 00:19 - 000000000 ____D C:\Keylock

Значит это вариант Enmity/Mammon

 

Эти файлы можете предоставить в архиве с паролем virus?

Цитата

"Объект";"Угроза";"Действие";"Путь";
"7Z.exe";"Win32.HLLP.Neshta";"Вылечено";"C:\tzxl2\7Z.exe";

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

А этот файл zip.bat можно еще добавить?Так же в архиве, с паролем virus. там должен быть указан пароль к архиву с шифровальщиком.

Цитата

"Объект";"Угроза";"Действие";"Путь";
"7Z.exe";"Win32.HLLP.Neshta";"Вылечено";"C:\tzxl2\7Z.exe";
"zip.bat";"BAT.Drop.2853";"Перемещено в карантин";"C:\tzxl2\zip.bat";

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Хорошо, ждем. Он может быть в карантине антивируса, Или на тех ПК, где еще не было очистки.

Надо проверить как смпл шифровальщика детектируется

-----------

нашел файл zip.bat из полугодичного случая, пароль подошел.

image.png

В том и беда, что DrWeb похоже этот сэмпл еще не ловит.

https://virusscan.jotti.org/ru-RU/filescanjob/fspfbrxb0j

детекта к сожалению так и нет:

https://www.virustotal.com/gui/file/e67384b36b2b2726be1c2eb6ec362cf500e5dbf99c1029dda7f399cd8c971058/behavior

шаблон шифрования: fn.desktop.ini.email-[mattersjack768@gmail.com]id-(A8C71YY467).goodluck

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Спасибо, такой же файл.

Изначально в автозапуске было:

Цитата

HKLM\...\Winlogon: [Shell] explorer.exe,c:\tzxl2\zip.bat,c:\tzxl2\del.bat <=== ВНИМАНИЕ

по после старта E.exe далее выполняется del,bat, и он восстанавливает ключи, и дефолтного юзера.

image.png

 

Можно предположить, что там где автоматически происходит загрузка рабочего стола под странным именем, там еще шифрование не случилось. Но сразу же и начнется.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Проверьте ЛС.

---------------

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватных ключей.

 

Общие рекомендации:

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
Run Новичок

Run

Опубликовано
Опубликовано

Доброго времени суток, компьютер словил вирус шифровальщик все файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

@Run.

создайте отдельную тему, добавьте необходимые логи и файлы согласно правил

«Порядок оформления запроса о помощи».

Не пишите в чужой теме.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sergey Bondarev
      Взлом. Зашифровали файлы. Вымогают деньги. Предположительно Trojan.Encoder.37373
      Автор Sergey Bondarev
      Здравствуйте! Нас взломали, пока не пойму как, разбираюсь. После себя хакеры подчистили все файлы и логи. Отправляю Вам: на пробу несколько зашифрованных файлов, результаты работы программы Farbar Recovery Scan Tool И письмо от хакеров. Спасибо _files.rar
    • timmonn
      Зашифрованы все файлы.
      Автор timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Run
      Все файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com
      Автор Run
      Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.
      Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46
      FRST.txtфайлы зашифрованные.zipKeylock.zip
    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
×
×
  • Создать...