Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал шифровальщик Trojan.Encoder.37448

Ч_Александр
 Поделиться

Рекомендуемые сообщения

Ч_Александр Новичок

Ч_Александр

Опубликовано
Опубликовано (изменено)

Добрый день.
Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
Есть скрин "Резервного хранилища", к сожалению очищено.

Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".

Скрин и файл с требованием во вложении.

Могу предоставить зашифрованные файлы.

Есть ли шанс на расшифровку?

 

П.С.

Ответ DRWEB

 Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

Скрин.png

#Read-for-recovery.txt

Изменено пользователем Ч_Александр
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

да, добавьте несколько зашифрованных файлов в архиве без пароля. (Это можно было сделать  сразу)

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

=======

Здесь, похоже, двойное было шифрование: вначале Mimic, затем Proton.

Потому, даже расшифровав Proton, вы не получите работоспособные файлы, так как останется еще второй слой шифрования.

Ссылка на комментарий
Поделиться на другие сайты
Ч_Александр Новичок

Ч_Александр

Опубликовано
  • Автор
Опубликовано
17 часов назад, safety сказал:

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

На данный момент не имею доступа к системе.

Но если что, мне его предоставят путем непосредственной доставки сист. блока на дом.

ВИРУС.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Логи нужны, чтобы посмотреть, что за вакханалия произошла на данном ПК.

Расшифровать все это невозможно без выкупа дешифраторов для PROTON и Mimic.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      Автор Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...