Перейти к содержанию

Прошу помощи с расшифровкой Trojan.Encoder.31074

Helsing13
 Поделиться

Рекомендуемые сообщения

Helsing13

Helsing13

Опубликовано
Опубликовано

Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.

После перезагрузки система работает но не все программы запускаются.

Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.

 

Пароль на оба архива: 1234

 

virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Касперского установили после шифрования?

2025-08-04 12:01 - 2025-08-04 12:02 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab

 

Если систему сканировали Касперским и курейтом, добавьте пожалуйста, логи и отчеты сканирования, в архиве, без пароля.

 

Начало атаки с шифрованием где-то здесь:

2025-08-02 01:22 - 2018-06-09 16:01 - 000000028 _____ C:\Users\User\Documents\Shadow.bat

 

 

Есть предположения каким образом файл шифровальщика попал в систему?

Изменено пользователем safety
Helsing13

Helsing13

Опубликовано
  • Автор
Опубликовано (изменено)

Прикладываю файлы отчета Cureit и выборочной проверки Kaspersky. ТАк же пытался найти варианты расшифровки самостоятельно, на сайте nomoreransome.org по типу шифровальщика даже нашелся специальный файл (скриншот прилагаю) который сообщил, после ввода decryption id, что можно запросить помощь в Европоле, после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Снимок экрана 2025-08-04 160156.jpg

antivir.zip

Изменено пользователем Helsing13
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Было бы чудом, если бы эти ключи подошли. Но то, что этот механизм работает - это неплохо. Хоть какой то порядок есть в этом.

 

По отчету Касперского:

папка с RDPWrap ваша?

Сегодня, 04.08.2025 14:11:19    C:\Distr\RDPWrap-v1.6.2\RDPWInst.exe    Обнаружено    Мы нашли приложение, которое может быть использовано

по отчету Cureit:

C:\users\user\documents\ns v.222.exe - infected - 12ms, 128000 bytes

Что еше осталось в этой папке незамеченным? (Кроме сканера ns*.exe и найденных файлов *.bat) Вложенной папки с Everything не осталось? Возможно, что из папки *\Documents и был запуск шифровальщика. Если есть такая возможность, выполните поиск сэмпла среди удаленных файлов, ориентируясь на дату и время процесса шифрования. (мог быть удален вручную или автоматически после завершения процесса шифрования)

------

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sart
      Давнишнее заражение
      Автор Sart
      Приветствую
      Зашифровано давно, февраль 2023 г
      Человек открыл вложение "Информация должнику.exe" из письма
      Просто оставлю тут, вдруг когда-нибудь всплывёт расшифровка
      blackbit.rar
    • Андрей Салтыков
      Вирус шифровальщик, помогите расшифровать файлы. Расширение QS4ZtPd2i
      Автор Андрей Салтыков
      Здравствуйте, зашифровали файлы.
      Our Telegram for decrypt - @limes853
      You can send some small test files to test our decryptor.
      You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar Сам шифровальщик intel.7z Отчет.rar
    • Tesla Akshukov
      Файлы на сервере зашифрованы Trojan.Encoder.31074
      Автор Tesla Akshukov
      Здравствуйте , каким то образом залез Trojan.Encoder.31074 и зашифровал все файлы , что делать? есть ли способ вернуть файлы?
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex OSKS
      Словил шифровальщик. Прошу помочь.
      Автор Alex OSKS
      Добрый день! На нескольких серверах словил шифровальщик. Прошу помочь с расшифровкой , если есть такая возможность. Спасибо.
      Addition.txt FRST.txt VIRUS.rar
×
×
  • Создать...