Перейти к содержанию

Файлы зашифрованы Trojan.Encoder.37448 #Proton

UcherMD1408
 Поделиться

Рекомендуемые сообщения

UcherMD1408 Новичок

UcherMD1408

Опубликовано
  • Автор
Опубликовано (изменено)
В 30.04.2025 в 10:03, UcherMD1408 сказал:

Даю ссылку на доступ к архивной папке HI

....

Ссылка на архивную папку Quarantine 

 

ниже рабочая ссылка на папку Quarantine

архив загружен, ссылка удалена

 

направляю данные с 3-го ПК

FRST.txt Addition.txt

Изменено пользователем safety
архив загружен, ссылка удалена
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По третьему ПК просто записки #HowToRecover.txt найдите все и удалите.  Папки с  инструментами шифрования нет, возможно удалена, или не попала в лог.

-------------

хэши по первому ПК:

SHA1: 9BAE9A01368F4DBA20C9BA2C09A986E6CF86A083

https://www.virustotal.com/gui/file/99067d26b7cc568c78e595aa1e0eed2e2f29a421612f0d30ddece76d1095acd5

SHA1: 99532E1FDE9137101DD6DABC495035C3E6C94D96

https://www.virustotal.com/gui/file/8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

хэши по второму ПК те же самые:

SHA1: 99532E1FDE9137101DD6DABC495035C3E6C94D96

SHA1: 9BAE9A01368F4DBA20C9BA2C09A986E6CF86A083

 

Третий ПК можно просканировать свежим KVRT, если что-то там осталось, должно детектироваться как:

HEUR:Trojan-Ransom.Win32.Generic

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
UcherMD1408 Новичок

UcherMD1408

Опубликовано
  • Автор
Опубликовано
В 30.04.2025 в 13:30, UcherMD1408 сказал:

 

 

Fixlog.txt 2.86 kB · 1 загрузка

также направляю отчет от Malwarebytes после очистки системы скриптом (2-ой комп)

Malwarebytes Отчет о проверке 2025-05-01 095225.txt

 

3 часа назад, safety сказал:

По третьему ПК просто записки #HowToRecover.txt найдите все и удалите.  Папки с  инструментами шифрования нет, возможно удалена, или не попала в лог.

-------------

хэши по первому ПК:

SHA1: 9BAE9A01368F4DBA20C9BA2C09A986E6CF86A083

https://www.virustotal.com/gui/file/99067d26b7cc568c78e595aa1e0eed2e2f29a421612f0d30ddece76d1095acd5

SHA1: 99532E1FDE9137101DD6DABC495035C3E6C94D96

https://www.virustotal.com/gui/file/8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

хэши по второму ПК:

SHA1: 99532E1FDE9137101DD6DABC495035C3E6C94D96

SHA1: 9BAE9A01368F4DBA20C9BA2C09A986E6CF86A083

 

Третий ПК можно просканировать свежим KVRT, если что-то там осталось, должно детектироваться как:

HEUR:Trojan-Ransom.Win32.Generic

 

 

подскажите, как с этим работать? Зашел по ссылкам, вижу что поставщики безопасности пометили эти файлы как вредоносные, а что дальше то делать?  

на 3-ем компе удалил все #HowToRecover.txt, просканировал KVRT и MB (Malwarebytes) - угроз не обнаружено

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
44 минуты назад, UcherMD1408 сказал:

также направляю отчет от Malwarebytes после очистки системы скриптом (2-ой комп)

Актуального здесь ничего не найдено. Файлы шифровальщика найдены в корзине удаленных файлов.

 

Цитата

подскажите, как с этим работать? Зашел по ссылкам, вижу что поставщики безопасности пометили эти файлы как вредоносные, а что дальше то делать?  

А ничего не надо с этим делать. Это информация по детектам, просто к сведению.

 

Если других ПК нет среди пострадавших,

то резюмируем.

 

Расшифровка файлов по данному типу невозможна без приватного ключа, которого у нас нет.

Восстановление файлов возможно только из бэкапов, если они не пострадали при шифровании.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

Если нужен анализ причин проникновения злоумышленников, проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      Автор DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • Sergey Bondarev
      Взлом. Зашифровали файлы. Вымогают деньги. Предположительно Trojan.Encoder.37373
      Автор Sergey Bondarev
      Здравствуйте! Нас взломали, пока не пойму как, разбираюсь. После себя хакеры подчистили все файлы и логи. Отправляю Вам: на пробу несколько зашифрованных файлов, результаты работы программы Farbar Recovery Scan Tool И письмо от хакеров. Спасибо _files.rar
×
×
  • Создать...