Поймал шифровальщик (Trojan.Encoder.26375)
Автор
SerG_ST
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор Ч_Александр
Добрый день.
Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
Есть скрин "Резервного хранилища", к сожалению очищено.
Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
Скрин и файл с требованием во вложении.
Могу предоставить зашифрованные файлы.
Есть ли шанс на расшифровку?
П.С.
Ответ DRWEB
Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.
#Read-for-recovery.txt
-
Автор trambler3
1. ОС переустановлена т.к. необходимо рабочее место.
2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет.
F.7z
-
Автор Andrew Vi Ch
Добрый день.
Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
Приложены архивы:
encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
frst.zip - логи FRST
lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
Прошу оказать содействие в расшифровке.
Спасибо.
-
Автор dsever
Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы. основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
BABKAALYOEBALO_DECRYPTION.txt
-
Автор Raain
Добрый день.
2 дня назад столкнулся с шифровальщиком Trojan.Encoder.35621 (так он идентифицируется онлайн сканерами), атаку заметили и успели выключить часть оборудования, но троян успел зашифровать определенное множество файлов, все они имеют расширение .S8fyxRJUX
На серверах и рабочих станциях стоял kaspersky endpoint security, но злоумышленнику удалось его отключить и запустить троян в сеть.
Вероятно, из-за того, что троян до конца не доработал, записка с текстом о выкупе нигде не обнаружена.
Попытки дешифровать через все известные мне сервисы успехом не увенчались.
В архиве sample.rar пример зашифрованных файлов
В архиве virus.rar (пароль infected) тело вируса и батник, который был к нему в комплекте
В архиве diag.rar файлы, полученные из Farbar Recovery Scan Too
Прошу помочь в решение вопроса, или подсказать где можно найти рабочие инструменты для дешифровки , может у кого-то есть дешифраторы для этой категории троянов?
virus.rar Diag.rar sample.rar
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти