Перейти к содержанию

Шифровальщик Trojan-Ransom.Win32.Xorist.ln, так же Not-a-virus:NetTool.Win32.Scan.qj, несколько уровней шифрования.

TiGenome
 Поделиться

Рекомендуемые сообщения

TiGenome

TiGenome

Опубликовано
Опубликовано

Доброго времени суток, взломали моего знакомого через открытый RDP во внешку (теперь все закрыто) был Windows 7

Вирус нашел, сохранил себе все файлы, по запросу знакомого переставил систему на windows 10 (лога нет соответственно), тогда о дешифровке как бы и разговора не было.

По файлам: злоумышленник использовал несколько утилит для шифровки 2 из них типа (опознаются каспером как XORIST),  в архиве обозначены у него как V1 and V2, там же шифрованные батники(расшифровал есть нормальные если нужно).

И еще NL.exe (Not-a-virus:NetTool.Win32.Scan.qj) по компу 4 вида файлов .VoNiX" ".VoNiX.XiNoV" и .VoNiX.XiNoV.oparish, так же немного есть и ".oparish" но это в основном его же требования в шифре

Файлы > ".VoNiX" и ".VoNiX.XiNoV"дешифровал emsisoft_howto_xorist, вторые как то странно, ибо юзабельны не все, но это ничего все зашифрованное забэкаплено, файлы .VoNiX.XiNoV.oparish дешифровать не получается при помощи того что мне удалось найти.  Возможно у мастеров своего дела получится правильно расшифровать .VoNiX.XiNoV.oparish

Требования: файл _ReadME.txt и файл HOW TO DECRYPT FILES.txt, архив с оригиналами и шифрами различных вариаций прикрепил.

Заранее спасибо!

Оригиналы и зашифрованные.zip

TiGenome

TiGenome

Опубликовано
  • Автор
Опубликовано

с  .VoNiX.XiNoV к .VoNiX подобрался таки адекватный ключ, дешифрует без ошибок и артефактов.

TiGenome

TiGenome

Опубликовано
  • Автор
Опубликовано
5 часов назад, thyrex сказал:

Ответил на Ваше ЛС

Здравствуйте! Дико извиняюсь, но я удалил это ЛС перед тем как топик завести, чтобы как говорится глаза не мозолила, может по этому не вижу ответ.

 

thyrex

thyrex

Опубликовано
Опубликовано

Наверняка шифрование Xorist было в 2 прохода с разными расширениями. А вот с опарышем неизвестно, будет ли шанс помочь.

Пришлите все, что обнаружили, заархивировав с паролем malware123. Архив выложите на  https://dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения.

thyrex

thyrex

Опубликовано
Опубликовано

Шифровальщика для опарыша в архиве не оказалось. Файлы, пострадавшие только от Xorist, расшифровать можно.

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • krechmerda
      вирус шифровальщик
      Автор krechmerda
      Винда грузится, но зашифрованы файлы с документами и 1с. На компе появился файл дешифратор.exe
      CollectionLog-2019.11.27-01.11.zip
    • sbaideq
      Шифровальщик unblocked@email.su
      Автор sbaideq
      недавно заметил что зашифровались все фото на диске.
      указали почту unblocked@email.su и unblocked@tuta.io

      как-то можно вернуть обратно исходники?
    • Dimamusz
      [РЕШЕНО] Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln
      Автор Dimamusz
      Здравствуйте.
      Поймал троян Trojan-Ransom.Win32.Xorist.ln. Все файлы зашифрованы имеют следующий вид (устав pdf_10.jpg.EnCiPhErEd)
      Пробовал воспользоваться Xorist Decryptor (не помог) и RectorDecryptor. После работы RectorDecryptor появились файлы без расширения EnCiPhErEd, но файлы не открываются. Письмо требование прикрепляю. Есть ли надежда на расшифровку?
    • Макс Соловьёв
      Зашифровало файлы в 2012году с подписью .SHIFR .
      Автор Макс Соловьёв
      Зашифровало файлы в 2012году с подписью .SHIFR вот только сейчас подключил старый венчестер. Перепробовал все утилиты касперского не помогло...Могу скинуть файл (ы) для расшифровки!

      в письме по расшифровке просит скинуть файл на почту decryptes@outlook.com 
      На момент когда зашифровало вылетело окно о том что мне нужно чтото заплатить по этому незамедлительно компьютор был выключен и запушен антивирус. но это было в 2012 году и по этому я не помню ни сайт ни полных требований 
×
×
  • Создать...