Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Судя по детекту WinDef - это Xorist.

Цитата

Путь: file:_C:\Users\Server\AppData\Local\Temp\39mPX7c7W3CS8qX.exe; regkey:_HKLM\SOFTWARE\Wow6432Node\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Alcmeter; runkey:_HKLM\SOFTWARE\Wow6432Node\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Alcmeter

 

Пару чистый - зашифрованный сможете предоставить? Так чтобы была чистая незашифрованная копия для файла, который зашифрован.

 

Или если есть в этой папке

C:\Users\Public\Pictures\Sample Pictures

зашифрованные файлы, то любой зашифрованный jpg файл из этой папки.

Изменено пользователем safety
Опубликовано (изменено)

хорошо, проверяю возможность получения ключа.

 

Ключ найден.

 

image.png

 

Файлы расшифрованы:

Цитата

 

Encrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\P1210OS.HTM.jnajf
Decrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\P1210OS.HTM
Status: Successfully decrypted!

Encrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\P1210SIG.GIF.jnajf
Decrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\P1210SIG.GIF
Status: Successfully decrypted!

Encrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\Карточка реквизитов , ООО Семеновна.jpg.jnajf
Decrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\Карточка реквизитов , ООО Семеновна.jpg
Status: Successfully decrypted!

Encrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\реквизиты Семеновна  новая.doc.jnajf
Decrypted file: D:\DATA\Encoder_files\Xorist\2\зашифрованные_файлы\реквизиты Семеновна  новая.doc
Status: Successfully decrypted!

Finished!

 

Проверьте ЛС.

 

По результату расшифровки напишите здесь.

Изменено пользователем safety
  • safety изменил название на [РАСШИФРОВАНО]Шифровальщик ransom:Win32/Sorikrypt
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • alya
      Автор alya
      ENKACRYPT-QRLFPOCXG5AW2JW9LLSPRCIVOA5MON8XKYKTTC2ZOZG" (.enkacrypt-QRLFPOCxg5aw2jW9lLsPRcIVOA5MOn8xKYkTtC2zOzg)
      Вот такой теперь формат абсолютно у всех файлов после вируса шифровальщика
      Прикрепляю пару файлов и письмо от злоумышленников 
      Может кто уже сталкивался с ними?  
      Attachments_sysadmin_spb@conte.ru_2025-08-25_11-12-08.zip
    • Drozdovanton
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • KOHb39
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
×
×
  • Создать...