Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Прошу помощи с расшифровкой Trojan.Encoder.31074

Helsing13
 Поделиться

Рекомендуемые сообщения

Helsing13

Helsing13

Опубликовано
Опубликовано

Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.

После перезагрузки система работает но не все программы запускаются.

Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.

 

Пароль на оба архива: 1234

 

virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Касперского установили после шифрования?

2025-08-04 12:01 - 2025-08-04 12:02 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab

 

Если систему сканировали Касперским и курейтом, добавьте пожалуйста, логи и отчеты сканирования, в архиве, без пароля.

 

Начало атаки с шифрованием где-то здесь:

2025-08-02 01:22 - 2018-06-09 16:01 - 000000028 _____ C:\Users\User\Documents\Shadow.bat

 

 

Есть предположения каким образом файл шифровальщика попал в систему?

Изменено пользователем safety
Helsing13

Helsing13

Опубликовано
  • Автор
Опубликовано (изменено)

Прикладываю файлы отчета Cureit и выборочной проверки Kaspersky. ТАк же пытался найти варианты расшифровки самостоятельно, на сайте nomoreransome.org по типу шифровальщика даже нашелся специальный файл (скриншот прилагаю) который сообщил, после ввода decryption id, что можно запросить помощь в Европоле, после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Снимок экрана 2025-08-04 160156.jpg

antivir.zip

Изменено пользователем Helsing13
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Было бы чудом, если бы эти ключи подошли. Но то, что этот механизм работает - это неплохо. Хоть какой то порядок есть в этом.

 

По отчету Касперского:

папка с RDPWrap ваша?

Сегодня, 04.08.2025 14:11:19    C:\Distr\RDPWrap-v1.6.2\RDPWInst.exe    Обнаружено    Мы нашли приложение, которое может быть использовано

по отчету Cureit:

C:\users\user\documents\ns v.222.exe - infected - 12ms, 128000 bytes

Что еше осталось в этой папке незамеченным? (Кроме сканера ns*.exe и найденных файлов *.bat) Вложенной папки с Everything не осталось? Возможно, что из папки *\Documents и был запуск шифровальщика. Если есть такая возможность, выполните поиск сэмпла среди удаленных файлов, ориентируясь на дату и время процесса шифрования. (мог быть удален вручную или автоматически после завершения процесса шифрования)

------

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sva_zar
      сервер 1С поймал шифровальщик
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Помогите расшифровать файлы с расширением .lokbt и i6ExcKHMZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Шифровальщик BOBCAT
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Шифровальщик файлов и выкуп
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
    • Alex_88
      Шифровальщик keepsecrets@tutanota.de
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, логи FRST сделать уже не возможности...
      ИП.cfe.rar dRip8TLmq.README.txt
×
×
  • Создать...