xorist (Расшифровано) Шифровальщик win32/sorikrypt

[Igor77]

Доброго дня!

Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip

files.zip virus.zip

[Sandor]

Здравствуйте!

 

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

[Igor77]

К сожалению таковых не нашел. Регулярные бекапы делались только применительно к базам 1С, но их архивы также зашифрованы. Попробую что-нибудь узнать завтра у пользователей, сегодня проблематично, поскольку выходной.

[safety]

@Igor77,

проверьте ЛС.

[Igor77]

17 часов назад, safety сказал:

@Igor77,

проверьте ЛС.

Спасибо! Утилита отработала успешно.