Перейти к содержанию

Помощь в расшифровке файлов, после атаки Trojan.Encoder.31074 (Lockbit 3)

Мурат Профит
 Поделиться

Рекомендуемые сообщения

Мурат Профит

Мурат Профит

Опубликовано
Опубликовано

Здравствуйте!
Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
Файл шифровальщика не обнаружен.

Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKU\S-1-5-21-3087295916-1336931651-3706808734-1003\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1004\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1005\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1008\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1009\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
HKU\S-1-5-21-3087295916-1336931651-3706808734-1010\...\RunOnce: [ctfmon.exe] => ctfmon.exe /n (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\gJ5LxcEQ7.README.txt [2025-05-17] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-05-17 09:05 - 2025-05-17 09:09 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Если скрипт очистки был выполнен, добавьте файл Fixlog.txt (из папки, откуда запускали FRST, в ваше сообщение)

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов по данному типу шифровальщиков не сможем помочь.

 

Общие рекомендации:

 

теперь, когда ваши файлы был зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • WhiteWizard
      Шифровальщик Trojan.Encoder.31074 (Lockbit 3)
      Автор WhiteWizard
      Вечером случилась атака сразу на три хоста. Тащемта они и слегли. DrWeb сказал что они помочь не могут. Обращаемся к вам с последней надеждой так сказать
      FRST.RAR DATA.RAR
    • delfi89
      Шифровальщик Trojan.Encoder.31074 (Lockbit 3)
      Автор delfi89
      Здравствуйте!

      Компьютер был поражен шифровальщиком Trojan.Encoder.31074 (cureit определил как https://vms.drweb.com/virus/?i=19565964)

      Архив приложил
      LB3.rar - пароль 123, исполняемый файл шифровальщик внутри

      Сервер на windows.
      Взломали, судя по всему, через дыру в безопасности в Coldfusion, т.к. устаревшая версия, которая не получает обновления безопасности.

      Также каким-то образом смогли добавить правила в firewall (rdp закрыт по ip был), создали своего администратора в windows.

      На данный момент процесс, который шифрует файлы - удален. Сам файл оставили, но переименовали.
      Поражены файлы ПО на диске C, часть файлов веб сайтов.

      Windows боюсь перезапускать на случай, если повреждены файлы системы.

      Были бы признательны, если получилось бы помочь в данном вопросе.
      t.zip Addition.txt FRST.txt
    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      Автор Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
×
×
  • Создать...