Перейти к содержанию
Важная информация для бета-тестеров

Файлы зашифровались, предположительно Trojan.Encoder.11539

123play
 Share

Рекомендуемые сообщения

123play Новичок

123play

Опубликовано
Опубликовано (изменено)

Добрый день.

Подскажите как его отчистить? ни каких следов, остатков на сервере найти не могу.

В случаи дешифровки, если есть файл оригинал-копия и этот же файл зашифрованный, возможно подобрать дешефратор ?

файлы зашифровались с расширением .xxxxx.

0a69b6086f7211e68115c81f66b8e5ff_IMG_20160831_0001.pdf.XXXXX

Спасибо.

Изменено пользователем 123play
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

GlobeImposter2. С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-04-15 07:46 - 2018-04-15 07:46 - 000005450 _____ C:\Program Files\HOW_TO_BACK_FILES.html
2018-04-15 07:36 - 2018-04-15 07:36 - 000005450 _____ C:\Users\.NET v2.0\HOW_TO_BACK_FILES.html
2018-04-15 07:36 - 2018-04-15 07:36 - 000005450 _____ C:\Users\.NET v2.0 Classic\HOW_TO_BACK_FILES.html
2018-04-15 07:36 - 2018-04-15 07:36 - 000005450 _____ C:\Program Files (x86)\HOW_TO_BACK_FILES.html
2018-04-15 07:35 - 2018-04-15 07:35 - 000005450 _____ C:\Users\Administrator\HOW_TO_BACK_FILES.html
2018-04-15 07:35 - 2018-04-15 07:35 - 000005450 _____ C:\Users\Administrator\Downloads\HOW_TO_BACK_FILES.html
2018-04-15 07:35 - 2018-04-15 07:35 - 000005450 _____ C:\Users\Administrator\Documents\HOW_TO_BACK_FILES.html
2018-04-15 07:35 - 2018-04-15 07:35 - 000005450 _____ C:\Users\Administrator\Desktop\HOW_TO_BACK_FILES.html
2018-04-15 07:35 - 2018-04-15 07:35 - 000005450 _____ C:\Users\Administrator\AppData\Local\HOW_TO_BACK_FILES.html
2018-04-15 07:34 - 2018-04-15 07:34 - 000005450 _____ C:\Users\db2admin\AppData\Local\HOW_TO_BACK_FILES.html
2018-04-15 07:34 - 2018-04-15 07:34 - 000005450 _____ C:\Users\Classic .NET AppPool\HOW_TO_BACK_FILES.html
2018-04-15 07:33 - 2018-04-15 07:33 - 000005450 _____ C:\Users\Default\HOW_TO_BACK_FILES.html
2018-04-15 07:33 - 2018-04-15 07:33 - 000005450 _____ C:\Users\db2admin\HOW_TO_BACK_FILES.html
2018-04-15 07:32 - 2018-04-15 07:32 - 000005450 _____ C:\Users\miha\Desktop\HOW_TO_BACK_FILES.html
2018-04-15 07:32 - 2018-04-15 07:32 - 000005450 _____ C:\Users\miha\AppData\Roaming\HOW_TO_BACK_FILES.html
2018-04-15 07:32 - 2018-04-15 07:32 - 000005450 _____ C:\Users\miha\AppData\Local\HOW_TO_BACK_FILES.html
2018-04-15 07:31 - 2018-04-15 07:31 - 000005450 _____ C:\Users\Public\Desktop\HOW_TO_BACK_FILES.html
2018-04-15 07:31 - 2018-04-15 07:31 - 000005450 _____ C:\Users\MSSQL$MICROSOFT##WID\HOW_TO_BACK_FILES.html
2018-04-15 07:31 - 2018-04-15 07:31 - 000005450 _____ C:\Users\miha\HOW_TO_BACK_FILES.html
2018-04-15 07:31 - 2018-04-15 07:31 - 000005450 _____ C:\Users\miha\Downloads\HOW_TO_BACK_FILES.html
2018-04-15 07:31 - 2018-04-15 07:31 - 000005450 _____ C:\Users\miha\Documents\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\USR1CV8\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\usr1cv8.BOMOND\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\Public\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\Public\Downloads\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\Public\Documents\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\miha.DB\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\miha.DB\Downloads\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\miha.DB\Documents\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\miha.DB\Desktop\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\miha.DB\AppData\Local\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\Users\HOW_TO_BACK_FILES.html
2018-04-15 07:30 - 2018-04-15 07:30 - 000005450 _____ C:\ProgramData\HOW_TO_BACK_FILES.html
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
123play Новичок

123play

Опубликовано
  • Автор
Опубликовано

Добрый день.

 

Подскажите, пожлста, информацию. Сегодня утром позвонили на рабочий телефон, представились как лаборатория касперского и предупредили что идут атаки из вне, но т к телефон поднял менеджер, он не смог ответить нечего внятного. 

Можно ли как то связатся с таким отделом ?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сомнительно, что это был звонок из компании. Скорее всего это распространители вируса, которые иногда отслеживают и обращения на форумах, прикололись :)

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
    • Tarhunchik
      Зашифрованы файлы шифровальщиком, предположительно Lockbit 3.0 Ransom
      От Tarhunchik
      Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.
      Addition.txt FRST.txt Зашифрованные.7z
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
×
×
  • Создать...