Перейти к содержанию

Активность Trojan.Encoder.37448

velykov
 Поделиться

Рекомендуемые сообщения

velykov

velykov

Опубликовано
Опубликовано (изменено)

Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
 

Цитата

 

Warning: Your files have been stolen and encrypted.

If you want your files back, contact us at the email addresses shown below:

Iwannahelper@gmail.com


# In subject line please write your personal ID
ID: C28C6114CBF23D00C03F717C9A7CBF28


Check Your Spam Folder: After sending your emails, please check your spam/junk folder regularly to ensure you do not miss our response.

No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
please create a new, valid email address (e.g., from Gmail, Outlook, etc.), and send your message again using the new email address.

 

 

Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

Chrysanthemum.jpg

#HowToRecover.txt t8TcrwidL6.zip

Addition.txt FRST.txt

Изменено пользователем velykov
safety

safety

Опубликовано
Опубликовано

По очистке системы выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.Open #HowToRecover.txt and follow the instructions to recover your
R3 kldlfmgr; system32\Drivers\kldlfmgr.sys [X]
R3 kldlfwpk; system32\Drivers\kldlfwpk.sys [X]
R3 Kldlimpc; system32\Drivers\Kldlimpc.sys [X]
R3 kldlksec; system32\Drivers\kldlksec.sys [X]
R3 kldlksl; system32\Drivers\kldlksl.sys [X]
R3 kldlndis; system32\Drivers\kldlndis.sys [X]
R3 kldlnio; system32\Drivers\kldlnio.sys [X]
2025-04-23 13:05 - 2025-04-23 13:05 - 007956534 _____ C:\ProgramData\C28C6114CBF23D00C03F717C9A7CBF28.bmp
2025-04-23 08:32 - 2023-01-22 22:20 - 013960560 _____ (Kaspersky Lab ZAO) C:\Users\PrinterMan\Desktop\r.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

velykov

velykov

Опубликовано
  • Автор
Опубликовано

Лог прикрепляю, возможно чем-то может помочь, вирус чуть позже, похоже система не хочет запускаться

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Пробуйте в безопасном режиме систему запустить.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы по второму ПК:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Task: {0B85D647-25E3-49F5-B54F-75146518D160} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
Task: {8F165859-F35D-41D7-9FB0-AF476DA6DA96} - \AutoKMS -> Нет файла <==== ВНИМАНИЕ
Task: {9E5079C2-620F-4134-AA42-FC4E585EC2BF} - \{270967E9-D4EF-43D4-9D48-A305C97920F6} -> Нет файла <==== ВНИМАНИЕ
Task: {B20F19D2-EAAA-4684-87FB-C2237BA05236} - \InternetSE -> Нет файла <==== ВНИМАНИЕ
Task: {557EBBB1-418F-4EB5-8F71-57B182B12926} - System32\Tasks\Price Fountain => C:\Users\Julia\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE  /Check (Нет файла)
2025-04-23 19:38 - 2025-04-23 19:38 - 008048694 _____ C:\ProgramData\2DED536E11C4177AC03F717C9A7CBF28.bmp
2025-04-23 15:16 - 2025-04-23 15:16 - 000003756 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onLogOn
2025-04-23 15:16 - 2025-04-23 15:16 - 000003316 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onTime
2025-04-22 09:35 - 2021-09-12 02:01 - 000481792 _____ (SoftPerfect Research) C:\Users\Julia\Desktop\nasp.exe
2025-04-22 09:34 - 2025-04-23 10:05 - 000000000 ____D C:\Users\Julia\Desktop\mimikatz
2025-04-22 09:34 - 2025-04-23 10:05 - 000000000 ____D C:\Users\Julia\Desktop\!logs
2025-04-22 09:33 - 2025-04-23 10:06 - 000000000 ____D C:\Users\Julia\Desktop\hi
2025-04-22 09:35 - 2025-04-23 13:31 - 000000000 ____D C:\Users\Julia\Desktop\passrecpk
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

velykov

velykov

Опубликовано
  • Автор
Опубликовано (изменено)

Архив загружен, ссылка удалена

Fixlog.txt

Изменено пользователем safety
Архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

Система успешно очищена. Расшифровка файлов, к сожалению, нашими силами невозможна.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
  • Like (+1) 1
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • scaramuccia
      Постоянно активный калькулятор
      Автор scaramuccia
      В процессах постоянно висит виндовый калькулятор. Пишут, что это нормально, так как другие приложения используют калькулятор для вычисления. Хотя непонятно, зачем им для вычислений нужен калькулятор, сами считать не умеют?
      Смущает, что в свойствах процесса указана неизвестная учетная запись. Что это за запись?

       
      Сообщение от модератора thyrex Перемещено из раздела Компьютерная помощь
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • UcherMD1408
      Файлы зашифрованы Trojan.Encoder.37448 #Proton
      Автор UcherMD1408
      27.04.2025 при включении рабочих компьютеров в частной сети (сеть из 3-х компьютеров с выходом в интернет через роутер Keenetic Air) при входе в Windows 10 Pro ПК стали появляться сообщения на синем экране Your computer is encrypted We encrypted and stolen all of your files. При дальнейшем входе в систему на каждом компьютере было обнаружено, что все файлы с данными зашифрованы, ярлыки имеют неопознанный вид, расширения у файлов .1cxz. Файлы не открываются. На одном компьютере при входе в систему появляется надпись Службе "Служба профилей пользователей" не удалось войти в систему Невозможно загрузить профиль пользователя. При запуске приложений на одном компьютере возникают ошибки, программы не запускаются. При обращении к провайдеру, предоставляющего Internet, для оказания посильной помощи, нам был прислан MBSetup для сканирования и лечения. После его запуска   на одном ПК, были обнаружены потенциальные угрозы и отправлены в карантин, после чего ряд программ также перестали открываться.  Нужна помощь в ликвидации шифровальщика и расшифровке файлов с данными. 
      #HowToRecover.txt  FRST.txt Addition.txtMalwarebytes Отчет о проверке 2025-04-28 113145.txtАрхив файлов.7z
×
×
  • Создать...