Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

обои есть на рабочем столе от шифровальщика?

 

Добавьте так же логи сканирования Cureit в архиве, без пароля.

Если найдена записка о выкупе, добавьте файл записки.

 

Возможно что шифрование было на другом устройстве, и текущее устройство затронуто шифрованием только через расшаренные каталоги.

Опубликовано

Cureit`ом до меня кто то из пользователей нашел 2 файла вылечили их удалением, сейчас поищу фото он делал.

cureit.7z cureit.7z

фото сканирование курейтом

photo_2025-02-24_13-07-52.jpg

каких то требований нет, обои стандартные не изменились 

Опубликовано

Можете эти файлы извлечь из карантина, и добавить в архив с паролем virus?

 

C:\kgm.exe - infected with Trojan.Encoder.31074
C:\kgm.exe - infected - 3ms, 148480 bytes

C:\Users\Администратор\Documents\kgm.exe - infected with Trojan.Encoder.31074
C:\Users\Администратор\Documents\kgm.exe - infected - 9ms, 148480 bytes

 

Опубликовано (изменено)

Брандмауэр не работает, через командную строку тоже не получается (

Изменено пользователем CreativeArch
Опубликовано
2 минуты назад, CreativeArch сказал:

Брандмауэр не работает, через командную строку тоже не получается (

как  это связано с моими  вопросами:

1. обои есть на рабочем столе от шифровальщика?

2. Можете эти файлы извлечь из карантина, и добавить в архив с паролем virus?

Опубликовано (изменено)

я писал вроде что обои стандартные остались
из карантина не могу достать( 

-------

В карантине нет пользователь до меня их просто удалил
Курейт предложил их вылечить удалением он так и сделал

Изменено пользователем safety
Опубликовано (изменено)

Судя по ранним уже темам:

Trojan.Encoder.31074 это LockbitV3Black

Надо искать на других устройствах, где был запуск, и где есть заставка на экране от Lockvit v3. С этого устройства и нужны будут логи и записка о выкупе. Скорее всего это будет ПК бухгалтеров.

Сэмпл мог залететь через почтовое сообщение с вложением.

Изменено пользователем safety
Опубликовано

принесла его сторонняя контора которая с 1ской помогает бухгалтерам (предполагаю) так как все произошло в воскресенье ночью, но они пока молчат 

в офисе больше никаких компов с такими файлами и заставками не обнаружил (
 

Опубликовано (изменено)

Проверять надо ПК бухгалтера, скорее всего этот вариант LockbitV3Black от группы room155. Они рассылают бэкдор, (через который затем загружается шифровальщик), через электронную почту.

Не факт что эти логи  курейт получены именно с этой машины, т.е. той что в логах FRST.

------

Если это Lockbit 3, то его не расшифровать без приватного ключа.

Изменено пользователем safety
Опубликовано

Буду искать конец, отпишусь, спасибо за помощь 

Опубликовано (изменено)
1 час назад, CreativeArch сказал:

восстановил файлы из карантина Cureit 

Файл из карантина раскодировался нормально

https://virusscan.jotti.org/ru-RU/filescanjob/84l4czs9bl

Надо еще проверить в песочнице как он шифрует

Изменено пользователем safety
Опубликовано

То есть есть возможность восстановить файлы? 

Опубликовано (изменено)

да, файлысэмплы шифровальщика можно восстановить из карантина с помощью программы-декодера.

Что еще:

Восстановленный сэмпл шифрует именно с этим расширением J0xb5NY5W и без записки о выкупе.

https://www.virustotal.com/gui/file/380ffc4cf15d6052e59942f1725b29a46e3bb8d69f82d31d195fee5302221d8e

Похоже что шифрование могло быть на этом ПК. И это точно Lockbit v3. (но не от room155) Получилось извлечь конфиг из файла-шифровальщика, и здесь мы видим, что в настройках config.json нет текста записки о выкупе, .т.е. пусто, а значит в этом случае,  записка не формируется. И отключена настройка выводить обои на рабочем столе.

Если они не оставили записку о выкупе, значит, цель шифрования могла быть другой (не выкуп, а уничтожение данных, т.е. вайпинг), просто зашифровать данные без возможности восстановления.

 

image.png

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alya
      Автор alya
      ENKACRYPT-QRLFPOCXG5AW2JW9LLSPRCIVOA5MON8XKYKTTC2ZOZG" (.enkacrypt-QRLFPOCxg5aw2jW9lLsPRcIVOA5MOn8xKYkTtC2zOzg)
      Вот такой теперь формат абсолютно у всех файлов после вируса шифровальщика
      Прикрепляю пару файлов и письмо от злоумышленников 
      Может кто уже сталкивался с ними?  
      Attachments_sysadmin_spb@conte.ru_2025-08-25_11-12-08.zip
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • LexaSLX
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • kubanrentgen
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...