Перейти к содержанию

Прошу помощи с расшифровкой Trojan.Encoder.31074

Helsing13
 Поделиться

Рекомендуемые сообщения

Helsing13

Helsing13

Опубликовано
Опубликовано

Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.

После перезагрузки система работает но не все программы запускаются.

Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.

 

Пароль на оба архива: 1234

 

virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Касперского установили после шифрования?

2025-08-04 12:01 - 2025-08-04 12:02 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab

 

Если систему сканировали Касперским и курейтом, добавьте пожалуйста, логи и отчеты сканирования, в архиве, без пароля.

 

Начало атаки с шифрованием где-то здесь:

2025-08-02 01:22 - 2018-06-09 16:01 - 000000028 _____ C:\Users\User\Documents\Shadow.bat

 

 

Есть предположения каким образом файл шифровальщика попал в систему?

Изменено пользователем safety
Helsing13

Helsing13

Опубликовано
  • Автор
Опубликовано (изменено)

Прикладываю файлы отчета Cureit и выборочной проверки Kaspersky. ТАк же пытался найти варианты расшифровки самостоятельно, на сайте nomoreransome.org по типу шифровальщика даже нашелся специальный файл (скриншот прилагаю) который сообщил, после ввода decryption id, что можно запросить помощь в Европоле, после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Снимок экрана 2025-08-04 160156.jpg

antivir.zip

Изменено пользователем Helsing13
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

после письма прислали два ключа и генератор дешифровщика, но это не помогло.

Было бы чудом, если бы эти ключи подошли. Но то, что этот механизм работает - это неплохо. Хоть какой то порядок есть в этом.

 

По отчету Касперского:

папка с RDPWrap ваша?

Сегодня, 04.08.2025 14:11:19    C:\Distr\RDPWrap-v1.6.2\RDPWInst.exe    Обнаружено    Мы нашли приложение, которое может быть использовано

по отчету Cureit:

C:\users\user\documents\ns v.222.exe - infected - 12ms, 128000 bytes

Что еше осталось в этой папке незамеченным? (Кроме сканера ns*.exe и найденных файлов *.bat) Вложенной папки с Everything не осталось? Возможно, что из папки *\Documents и был запуск шифровальщика. Если есть такая возможность, выполните поиск сэмпла среди удаленных файлов, ориентируясь на дату и время процесса шифрования. (мог быть удален вручную или автоматически после завершения процесса шифрования)

------

+

проверьте ЛС.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FreakaFree
      Шифровальщик .8PbsCcHuo
      Автор FreakaFree
      Добрый день! Словили шифровальщик с расширением .8PbsCcHuo
      Все файлы зашифровало, есть возможность расшифровать?
    • AAS
      Зашифрованы файлы на компьютере. Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор AAS
      На компьютере были зашифрованы файлы. Переписка с вымогателем и зараженные файлы (с незараженными оригиналами) в приложение. 
      Если есть возможность проанализировать шифровку и в идеале сказать как дешифровать - будем БЛАГОДАРНЫ. 
      А так на будущее, для других, что появилась новая группа мошенников - упоминание про них мы не нашли
       
      kRvWxoD5n.README.txt
      зараженные_файлы.zip
    • Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n
      Автор Yaheni
      Вымогатель BagIRA. Расширение kRvWxoD5n

      Шифрует абсолютно все файлы, включая .exe бэкапы и БД

       
       
      kRvWxoD5n.README.txt файлы пример.7z Addition.txt FRST.txt
    • RomanNQ
      Добрый день. Словили шифровальщик с расширением .gxj5ip3z2
      Автор RomanNQ
      Прикладываю файл записки и зашифрованный файл. Прошу помочь с идентификацией шифровальщика и возможно с поиском дескриптора.   
      gxj5ip3z2.README.txt Система_контроля_передвижений_и_перемещений_docx_gxj5ip3z2.rar
    • Александр 1190
      Попал шифровальщик на сервер, зашифрованы файлы, просит выкуп CVFJIb2N.README.txt
      Автор Александр 1190
      Добрый день!
       
      16.02.2026
       
      При запуске сервера на рабочем столе отобразилось сообщение LockBit Black. All your important files are stolen and encrypted! You must find CVFJSIb2N.README.txt  и сам открылся этот файл в блокноте с содержанием:
      "Все ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи, так как только у нас есть дешифратор и специальный ключ расшифровки". 
      Для расшифровки файлов просят оплатить услуги по расшифровке. Для получения информации ссылаются на почтовый ящик onlinedecodeallfiles@gmail.com
       
      Какой порядок действий нужно предпринять в данном случае? Как дешифровать файлы? Можно ли использовать антивирус и решит ли это проблему?
      Можно ли связаться со специалистами касперского по телефону для помощи по данному вопросу и по какому контактному номеру?
       
      Спасибо!
×
×
  • Создать...