Перейти к содержанию

Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506


Рекомендуемые сообщения

ПК на Windows11, Windows 10, Windows 7
Примерная дата шифрования с 17.01.2025
На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)

 

Ответ поддержки Dr.Web: 

В данном случае файл зашифрован Trojan.Encoder.37506.
Расшифровка нашими силами невозможна

 

Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan

Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

папка есть на пострадавших ПК?

C:\RSADecryptKey

или

C:\KeyForFiles

или

C:\Keylock

----------

Да, вижу по логу FRST:

2025-01-19 00:19 - 2025-01-19 00:19 - 000000000 ____D C:\Keylock

Значит это вариант Enmity/Mammon

 

Эти файлы можете предоставить в архиве с паролем virus?

Цитата

"Объект";"Угроза";"Действие";"Путь";
"7Z.exe";"Win32.HLLP.Neshta";"Вылечено";"C:\tzxl2\7Z.exe";

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

А этот файл zip.bat можно еще добавить?Так же в архиве, с паролем virus. там должен быть указан пароль к архиву с шифровальщиком.

Цитата

"Объект";"Угроза";"Действие";"Путь";
"7Z.exe";"Win32.HLLP.Neshta";"Вылечено";"C:\tzxl2\7Z.exe";
"zip.bat";"BAT.Drop.2853";"Перемещено в карантин";"C:\tzxl2\zip.bat";

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Хорошо, ждем. Он может быть в карантине антивируса, Или на тех ПК, где еще не было очистки.

Надо проверить как смпл шифровальщика детектируется

-----------

нашел файл zip.bat из полугодичного случая, пароль подошел.

image.png

В том и беда, что DrWeb похоже этот сэмпл еще не ловит.

https://virusscan.jotti.org/ru-RU/filescanjob/fspfbrxb0j

детекта к сожалению так и нет:

https://www.virustotal.com/gui/file/e67384b36b2b2726be1c2eb6ec362cf500e5dbf99c1029dda7f399cd8c971058/behavior

шаблон шифрования: fn.desktop.ini.email-[mattersjack768@gmail.com]id-(A8C71YY467).goodluck

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Спасибо, такой же файл.

Изначально в автозапуске было:

Цитата

HKLM\...\Winlogon: [Shell] explorer.exe,c:\tzxl2\zip.bat,c:\tzxl2\del.bat <=== ВНИМАНИЕ

по после старта E.exe далее выполняется del,bat, и он восстанавливает ключи, и дефолтного юзера.

image.png

 

Можно предположить, что там где автоматически происходит загрузка рабочего стола под странным именем, там еще шифрование не случилось. Но сразу же и начнется.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Проверьте ЛС.

---------------

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватных ключей.

 

Общие рекомендации:

 

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

Доброго времени суток, компьютер словил вирус шифровальщик все файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.

Ссылка на комментарий
Поделиться на другие сайты

@Run.

создайте отдельную тему, добавьте необходимые логи и файлы согласно правил

«Порядок оформления запроса о помощи».

Не пишите в чужой теме.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • UcherMD1408
      Автор UcherMD1408
      27.04.2025 при включении рабочих компьютеров в частной сети (сеть из 3-х компьютеров с выходом в интернет через роутер Keenetic Air) при входе в Windows 10 Pro ПК стали появляться сообщения на синем экране Your computer is encrypted We encrypted and stolen all of your files. При дальнейшем входе в систему на каждом компьютере было обнаружено, что все файлы с данными зашифрованы, ярлыки имеют неопознанный вид, расширения у файлов .1cxz. Файлы не открываются. На одном компьютере при входе в систему появляется надпись Службе "Служба профилей пользователей" не удалось войти в систему Невозможно загрузить профиль пользователя. При запуске приложений на одном компьютере возникают ошибки, программы не запускаются. При обращении к провайдеру, предоставляющего Internet, для оказания посильной помощи, нам был прислан MBSetup для сканирования и лечения. После его запуска   на одном ПК, были обнаружены потенциальные угрозы и отправлены в карантин, после чего ряд программ также перестали открываться.  Нужна помощь в ликвидации шифровальщика и расшифровке файлов с данными. 
      #HowToRecover.txt  FRST.txt Addition.txtMalwarebytes Отчет о проверке 2025-04-28 113145.txtАрхив файлов.7z
    • Helsing13
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • MirTa
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...