Перейти к содержанию

(Расшифровано) Шифровальщик win32/sorikrypt


Рекомендуемые сообщения

Доброго дня!

Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip

files.zip virus.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Ссылка на сообщение
Поделиться на другие сайты

К сожалению таковых не нашел. Регулярные бекапы делались только применительно к базам 1С, но их архивы также зашифрованы. Попробую что-нибудь узнать завтра у пользователей, сегодня проблематично, поскольку выходной.

Ссылка на сообщение
Поделиться на другие сайты
  • safety changed the title to (Расшифровано) Шифровальщик win32/sorikrypt

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Сергей СР
      От Сергей СР
      Доброго времени суток!
       
      Поймали шифровальшика на старый домашний компьютер. После переговоров и оплаты получили от злоумышленников ключ, программу и файлы, которые якобы должны были расшифровать данные . Программа по видимому была пустышкой для вымогания денег. На компьютере установлено два физических диска: SSD с ОС и жесткий диск с данными на 1Тб. До взлома на ЖД был один единственный раздел, занимавший всё свободное пространство. На диск было записано ~350 - 400 Гб данных. Сейчас там два раздела (Том D 391 Гб и E 97 Гб) и неразмеченная область. Можно ли как-то восстановить данные с жесткого диска? Заранее спасибо.
       

      Addition.txt FRST.txt Зашифрованные файлы и сообщение.zip
    • moises ribeiro
      От moises ribeiro
      Fui hackeado por essa extensão, alguém poderia me ajudar? 
      Dados Criptografados (.7ch@v3s)
      A unica forma de desbloquear os arquivos é
      adquirir o Decryptor+Chave respectivo a este ID-72371SD
      envie o id no email para contato: 
       recoverydatablock@proton.me
      prazo max para o contato  20/06/2023 16:00 PM
      - N delete arquivos trancados
      - N não renomeie os arquivos trancados .7ch@v3s
      - N  não poste esta mensagem em nenhum site
        nem denuncie pois podem bloquear este email. 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • iLuminate
      От iLuminate
      Здраствуйте, если есть возможность и желание помогите пожалуйста. Заразились через почту либо флешку. Все зашифровано.

      Addition.txt FRST.txt HOW TO DECRYPT FILES.txt ЗАШИФРОВАННЫЕ ФАЙЛЫ.zip
    • TiGenome
      От TiGenome
      Доброго времени суток, взломали моего знакомого через открытый RDP во внешку (теперь все закрыто) был Windows 7
      Вирус нашел, сохранил себе все файлы, по запросу знакомого переставил систему на windows 10 (лога нет соответственно), тогда о дешифровке как бы и разговора не было.
      По файлам: злоумышленник использовал несколько утилит для шифровки 2 из них типа (опознаются каспером как XORIST),  в архиве обозначены у него как V1 and V2, там же шифрованные батники(расшифровал есть нормальные если нужно).
      И еще NL.exe (Not-a-virus:NetTool.Win32.Scan.qj) по компу 4 вида файлов .VoNiX" ".VoNiX.XiNoV" и .VoNiX.XiNoV.oparish, так же немного есть и ".oparish" но это в основном его же требования в шифре
      Файлы > ".VoNiX" и ".VoNiX.XiNoV"дешифровал emsisoft_howto_xorist, вторые как то странно, ибо юзабельны не все, но это ничего все зашифрованное забэкаплено, файлы .VoNiX.XiNoV.oparish дешифровать не получается при помощи того что мне удалось найти.  Возможно у мастеров своего дела получится правильно расшифровать .VoNiX.XiNoV.oparish
      Требования: файл _ReadME.txt и файл HOW TO DECRYPT FILES.txt, архив с оригиналами и шифрами различных вариаций прикрепил.
      Заранее спасибо!
      Оригиналы и зашифрованные.zip
×
×
  • Создать...