Перейти к содержанию

(Расшифровано) Шифровальщик win32/sorikrypt

Igor77
 Поделиться

Рекомендуемые сообщения

Igor77

Igor77

Опубликовано
Опубликовано

Доброго дня!

Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip

files.zip virus.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Igor77

Igor77

Опубликовано
  • Автор
Опубликовано

К сожалению таковых не нашел. Регулярные бекапы делались только применительно к базам 1С, но их архивы также зашифрованы. Попробую что-нибудь узнать завтра у пользователей, сегодня проблематично, поскольку выходной.

Igor77

Igor77

Опубликовано
  • Автор
Опубликовано
17 часов назад, safety сказал:

@Igor77,

проверьте ЛС.

Спасибо! Утилита отработала успешно.

  • safety изменил название на (Расшифровано) Шифровальщик win32/sorikrypt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sv_igor
      Не могу расшифровать файлы. Xorist(походу)
      Автор sv_igor
      Добрый день споймал вирус как в аналогичной ветке
       
      Все файлы на вашем ПК зашифрованы! Для расшифровки файлов, вам необходимо написать на email: boxfu@ya.ru В письме необходимо указать id вашего ПК: box1736   Стоимость расшифровки 12500 руб., спешите скоро цена вырастет!   часть расшифровывается с помощью TrendMicro(процентов наверно 20-30) а остальная нет   Помогите с расшифровкой. В вложении зашифрованный файлик в архиве    
       
      GarantiBank_Accounts_140717.pdf.rar
    • Валерий Назаренко
      На сетевом хранилище зашифровало файлы
      Автор Валерий Назаренко
      здравствуйте ув. форумчане. прошу помочь. на сетевом хранилище зашифровало файлы. Зашифрованые файлы имеют вид "oldfilename.xls.fun07306 ". Как с этим бороться? если можно дайте пошаговую инструкцию.
    • Flatcher
      Шифрование fun07306
      Автор Flatcher
      у меня точно такая же ситуация. Файл с требованиями аналогичен слово в слово. Что мне можно сделать?
    • Александр75
      Шифровальщик Xorist
      Автор Александр75
      Здравствуйте!
      Вирус зашифровал все данные. KVRT определили как Xorist. Пытался использовать XoristDecryptor - не помогло! Так же пытался дешифровать с помощью Emsisoft Decripter взятого с сайта Nomoreransom.org - часть файлов восстановилась - но самые важные файлы (база 1С) не восстановились!
       
      Текстовый файл шифровальщика содержит:
       
      "Внимание! Все Ваши файлы зашифрованы!
      Чтобы восстановить свои файлы и получить к ним доступ,
      отправьте сообщение на этот имейл decripted2017@gmail.com
      и получите дальнейшие инструкции

      У вас есть 5 попыток ввода кода. При превышении этого
      количества, все данные необратимо испортятся. Будьте
      внимательны при вводе кода!"
       
      Заранее благодарю!
       
      CollectionLog-2017.06.01-16.44.zip
    • Kwaxs
      Шифровальщик на Windows Server 2008 R2
      Автор Kwaxs
      Доброго времени суток,
       
      шифровальщик, очень похожий на упомянутый в этой ветке, зашифровал все *.ini, *.dll и *.crt на Windows Server 2008 R2. Предоставить зараженные экзешники (лежавшие в папках с такими же названиями и такой же структурой, как в другой теме) уже не получится - они были стерты админом вручную, поскольку Rescue Disk на них никак не отреагировал и сказал "ОК". Автору упомянутой темы был прислан дешифратор в ЛС; можно ли получить его копию и попробовать восстановить файлы?
       
      Зашифрованные файлы получили дополнительное расширение *.ERROR-ID-631001111 . На дополнительные вопросы насчет вируса отвечу насколько смогу подробно.
       
      Заранее благодарен,
       
      Максим
×
×
  • Создать...