Перейти к содержанию
Важная информация для бета-тестеров

Шыфровальщик Trojan.Encoder.11539

Fantomas1102
 Share

Рекомендуемые сообщения

Fantomas1102 Новичок

Fantomas1102

Опубликовано
Опубликовано

Шифровальщик Trojan.Encoder.11539( как сказали в dr.WEB) зашифровал все файлы, которые очень нужны :eyes: .

Ситуация очень схожая с пользователем который заплатил "вымогателям" - https://forum.kasperskyclub.ru/index.php?showtopic=56986

в моем случае только почты иные, но денежек у меня нету((( а зарядили не слабо 0.8 биткойна.

Очень надеюсь на помощь.

скрин и лог прикрепляю.

post-49557-0-87805200-1523605687_thumb.jpg

CollectionLog-2018.04.13-10.31.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\YmViZQxx\bfsvc.exe','');

 QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\YmViZQxx\explorer.exe','');

 TerminateProcessByName('c:\users\Администратор\appdata\roaming\ymvizqxx\twunk_32.exe');

 QuarantineFile('c:\users\Администратор\appdata\roaming\ymvizqxx\twunk_32.exe','');

 DeleteFile('c:\users\Администратор\appdata\roaming\ymvizqxx\twunk_32.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe');

 DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\YmViZQxx\explorer.exe','32');

 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\YmViZQxx\bfsvc.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe');

 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\YmViZQxx.job','32');

 DeleteFile('C:\Windows\system32\Tasks\YmViZQxx','64');

ExecuteSysClean;

end.


 

Перезагрузите компьютер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 




O4-32 - HKLM\..\Run: [bfsvc.exe] = C:\Windows\system32\config\systemprofile\AppData\Roaming\YmViZQxx\bfsvc.exe  (file missing)

O4-32 - HKLM\..\Run: [explorer.exe] = C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\YmViZQxx\explorer.exe  (file missing)

O4-32 - HKLM\..\Run: [twunk_32.exe] = C:\Users\Администратор\AppData\Roaming\YmViZQxx\twunk_32.exe

O22 - Task (Job): (Ready) YmViZQxx.job - C:\Users\Администратор\AppData\Roaming\YmViZQxx\twunk_32.exe

O22 - Task: YmViZQxx - C:\Users\Администратор\AppData\Roaming\YmViZQxx\twunk_32.exe


 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

C:\Users\Администратор\AppData\Roaming\YmViZQxx

Удалите вручную.

 

 

 

Это как-то поможет мне с расшифровкой?

Это по крайней мере поможет очистить сервер от вирусов. Пароль от RDP смените. 

 

Лицензия на антивирус имеется?

Ссылка на комментарий
Поделиться на другие сайты
Fantomas1102 Новичок

Fantomas1102

Опубликовано
  • Автор
Опубликовано

На антивирус лицензии нет(увы  :(  ), а по поводу очистки, я так подумал поскольку вся информация все равно зашифрована и её невозможно расшифровать, то безопасней будет заново поставить систему с нуля.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      От Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
×
×
  • Создать...