Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

файлы зашифрованы Trojan.Encoder.31074 (Lockbit)

Константин2026
 Поделиться

Рекомендуемые сообщения

Константин2026

Константин2026

Опубликовано
Опубликовано (изменено)

Прошу помощи с расшифровкой файлов после Trojan.Encoder.31074

Систему пока что не перезагружали.

Прилагаю логи Farbar Recovery Scan Tool и архив с двумя зашифрованными файлами и запиской о выкупе.

Addition.txt FRST.txt

README.rar

Изменено пользователем Константин2026
safety

safety

Опубликовано
Опубликовано

Если систему сканировали в Cureit, KVRT или штатным антивирусом, добавьте отчеты по сканированию, в архиве, без пароля.

Константин2026

Константин2026

Опубликовано
  • Автор
Опубликовано

просканировать утилитами не удается, т.к. запрещен запуск от имени администратора

safety

safety

Опубликовано
Опубликовано (изменено)

Да, вижу по логу FRST, что создавали  логи без прав Администратора.

Запущено с помощью * (ВНИМАНИЕ: Пользователь не является Администратором) на * (Intel Corporation S3210SH) (24-04-2026 11:47:25)

Если будет невозможен запуск утилит от имени Администратора, то мы не сможем выполнить анализ вашей системы.

 

Добавлю, что расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа. Которого у нас нет.

 

 

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Можете уточнить почему утилиты не запускаются от Администратора? нет прав админа для вашей учетной записи?

Константин2026

Константин2026

Опубликовано
  • Автор
Опубликовано

тот кто проник на сервер отключил все учетные записи, оставив только одну и ту без прав Админа

safety

safety

Опубликовано
Опубликовано (изменено)

Вы можете загрузиться с загрузочного диска или флэшки и включить учетные записи с правами Администратора.

Скачайте Winpe&uVS.iso отсюда или отсюда,

запишите iso образ на флэшку, установите загрузку системы с флэшки

После загрузки автоматически запустится стартовое меню uVS, далеенадо выбрать каталог Windows с проблемного системного диска, далее выбираете текущий пользователь.

После этого загрузится главное меню uVS, В верхней линейке меню выбрать Реестр - учетные записи. Здесь можно будет активировать необходимые учетные записи

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по отчету Cureit ничего не нашел. а в KVRT не сканировали?

Вижу что есть папка с отчетами

2026-04-20 20:53 - 2026-04-23 21:52 - 000000000 ____D C:\KVRT2020_Data

Можно папку reports добавить в архив без пароля, и прикрепить здесь.

+

проверьте ЛС для доп. анализа.

--------

логи смогу проверить только завтра.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Сэмпл не найден, возможно самоудалился после завершения шифрования.

 

+

проверьте ЛС для доп. анализа.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ValeryZ
      Помогите расшифровать файлы с расширением .lokbt и i6ExcKHMZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Шифровальщик BOBCAT
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Шифровальщик файлов и выкуп
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
    • Alex_88
      Шифровальщик keepsecrets@tutanota.de
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, логи FRST сделать уже не возможности...
      ИП.cfe.rar dRip8TLmq.README.txt
    • ghostman
      помогите расшифровать данные
      Автор ghostman
      Добрый день.
      Вирус-шифровальщик все файлы зашифровал. В конце каждого файла расширение .m6i7V6Glr .Прикладываю содержимое файла-требования его имя m6i7V6Glr.README.txt .
       

       
      Не могу понять, чем зашифрованы файлы и как их расшифровать. Crypto sheriff показывает что это "Lockbit 3.0" или"BlackBasta", но локбит утилита не может проверить по ID так как требуется 16 символов, а в файле-требовании ID какой-то странный и он 15 символов всего. А для блекбаста вообще ничего не смог найти.
      Могу приложить несколько зашифрованных файлов, если это потребуется.
×
×
  • Создать...