Перейти к содержанию

Активность Trojan.Encoder.37448

velykov
 Поделиться

Рекомендуемые сообщения

velykov Новичок

velykov

Опубликовано
Опубликовано (изменено)

Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
 

Цитата

 

Warning: Your files have been stolen and encrypted.

If you want your files back, contact us at the email addresses shown below:

Iwannahelper@gmail.com


# In subject line please write your personal ID
ID: C28C6114CBF23D00C03F717C9A7CBF28


Check Your Spam Folder: After sending your emails, please check your spam/junk folder regularly to ensure you do not miss our response.

No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
please create a new, valid email address (e.g., from Gmail, Outlook, etc.), and send your message again using the new email address.

 

 

Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

Chrysanthemum.jpg

#HowToRecover.txt t8TcrwidL6.zip

Addition.txt FRST.txt

Изменено пользователем velykov
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.Open #HowToRecover.txt and follow the instructions to recover your
R3 kldlfmgr; system32\Drivers\kldlfmgr.sys [X]
R3 kldlfwpk; system32\Drivers\kldlfwpk.sys [X]
R3 Kldlimpc; system32\Drivers\Kldlimpc.sys [X]
R3 kldlksec; system32\Drivers\kldlksec.sys [X]
R3 kldlksl; system32\Drivers\kldlksl.sys [X]
R3 kldlndis; system32\Drivers\kldlndis.sys [X]
R3 kldlnio; system32\Drivers\kldlnio.sys [X]
2025-04-23 13:05 - 2025-04-23 13:05 - 007956534 _____ C:\ProgramData\C28C6114CBF23D00C03F717C9A7CBF28.bmp
2025-04-23 08:32 - 2023-01-22 22:20 - 013960560 _____ (Kaspersky Lab ZAO) C:\Users\PrinterMan\Desktop\r.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы по второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Task: {0B85D647-25E3-49F5-B54F-75146518D160} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
Task: {8F165859-F35D-41D7-9FB0-AF476DA6DA96} - \AutoKMS -> Нет файла <==== ВНИМАНИЕ
Task: {9E5079C2-620F-4134-AA42-FC4E585EC2BF} - \{270967E9-D4EF-43D4-9D48-A305C97920F6} -> Нет файла <==== ВНИМАНИЕ
Task: {B20F19D2-EAAA-4684-87FB-C2237BA05236} - \InternetSE -> Нет файла <==== ВНИМАНИЕ
Task: {557EBBB1-418F-4EB5-8F71-57B182B12926} - System32\Tasks\Price Fountain => C:\Users\Julia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE  /Check (Нет файла)
2025-04-23 19:38 - 2025-04-23 19:38 - 008048694 _____ C:\ProgramData\2DED536E11C4177AC03F717C9A7CBF28.bmp
2025-04-23 15:16 - 2025-04-23 15:16 - 000003756 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onLogOn
2025-04-23 15:16 - 2025-04-23 15:16 - 000003316 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onTime
2025-04-22 09:35 - 2021-09-12 02:01 - 000481792 _____ (SoftPerfect Research) C:\Users\Julia\Desktop\nasp.exe
2025-04-22 09:34 - 2025-04-23 10:05 - 000000000 ____D C:\Users\Julia\Desktop\mimikatz
2025-04-22 09:34 - 2025-04-23 10:05 - 000000000 ____D C:\Users\Julia\Desktop\!logs
2025-04-22 09:33 - 2025-04-23 10:06 - 000000000 ____D C:\Users\Julia\Desktop\hi
2025-04-22 09:35 - 2025-04-23 13:31 - 000000000 ____D C:\Users\Julia\Desktop\passrecpk
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Система успешно очищена. Расшифровка файлов, к сожалению, нашими силами невозможна.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      Автор Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • UcherMD1408
      Файлы зашифрованы Trojan.Encoder.37448 #Proton
      Автор UcherMD1408
      27.04.2025 при включении рабочих компьютеров в частной сети (сеть из 3-х компьютеров с выходом в интернет через роутер Keenetic Air) при входе в Windows 10 Pro ПК стали появляться сообщения на синем экране Your computer is encrypted We encrypted and stolen all of your files. При дальнейшем входе в систему на каждом компьютере было обнаружено, что все файлы с данными зашифрованы, ярлыки имеют неопознанный вид, расширения у файлов .1cxz. Файлы не открываются. На одном компьютере при входе в систему появляется надпись Службе "Служба профилей пользователей" не удалось войти в систему Невозможно загрузить профиль пользователя. При запуске приложений на одном компьютере возникают ошибки, программы не запускаются. При обращении к провайдеру, предоставляющего Internet, для оказания посильной помощи, нам был прислан MBSetup для сканирования и лечения. После его запуска   на одном ПК, были обнаружены потенциальные угрозы и отправлены в карантин, после чего ряд программ также перестали открываться.  Нужна помощь в ликвидации шифровальщика и расшифровке файлов с данными. 
      #HowToRecover.txt  FRST.txt Addition.txtMalwarebytes Отчет о проверке 2025-04-28 113145.txtАрхив файлов.7z
    • Snak3EyeS92
      Подозрительная сетевая активность
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • sfunlimit
      KSC - Доверенные процессы: Кнопка "Добавить" не активна
      Автор sfunlimit
      Добрый день, 
      Есть политика, Kaspersky Security Center для Windows Server - Вкладка "Дополнительные возможности" - Пункт "Доверенная зона" - во вкладке "Доверенные процессы" кнопка "добавить" не активна. В то же время, кнопка "добавить" во вкладке "Исключения" активна.
       
      В чем может быть проблема?


       
×
×
  • Создать...