Перейти к содержанию

Прошу помощи с расшифровкой Trojan.Encoder.31074


Рекомендуемые сообщения

Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.

После перезагрузки система работает но не все программы запускаются.

Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.

 

Пароль на оба архива: 1234

 

virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip

Ссылка на комментарий
Поделиться на другие сайты

Касперского установили после шифрования?

2025-08-04 12:01 - 2025-08-04 12:02 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab

 

Если систему сканировали Касперским и курейтом, добавьте пожалуйста, логи и отчеты сканирования, в архиве, без пароля.

 

Начало атаки с шифрованием где-то здесь:

2025-08-02 01:22 - 2018-06-09 16:01 - 000000028 _____ C:\Users\User\Documents\Shadow.bat

 

 

Есть предположения каким образом файл шифровальщика попал в систему?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Прикладываю файлы отчета Cureit и выборочной проверки Kaspersky. ТАк же пытался найти варианты расшифровки самостоятельно, на сайте nomoreransome.org по типу шифровальщика даже нашелся специальный файл (скриншот прилагаю) который сообщил, после ввода decryption id, что можно запросить помощь в Европоле, после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Снимок экрана 2025-08-04 160156.jpg

antivir.zip

Изменено пользователем Helsing13
Ссылка на комментарий
Поделиться на другие сайты

Цитата

после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Было бы чудом, если бы эти ключи подошли. Но то, что этот механизм работает - это неплохо. Хоть какой то порядок есть в этом.

 

По отчету Касперского:

папка с RDPWrap ваша?

Сегодня, 04.08.2025 14:11:19    C:\Distr\RDPWrap-v1.6.2\RDPWInst.exe    Обнаружено    Мы нашли приложение, которое может быть использовано

по отчету Cureit:

C:\users\user\documents\ns v.222.exe - infected - 12ms, 128000 bytes

Что еше осталось в этой папке незамеченным? (Кроме сканера ns*.exe и найденных файлов *.bat) Вложенной папки с Everything не осталось? Возможно, что из папки *\Documents и был запуск шифровальщика. Если есть такая возможность, выполните поиск сэмпла среди удаленных файлов, ориентируясь на дату и время процесса шифрования. (мог быть удален вручную или автоматически после завершения процесса шифрования)

------

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Мурат Профит
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • VNDR
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Мимохожий
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
×
×
  • Создать...