xorist [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

13 февраля

Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

Копии.7z

13 февраля

xoristdecryptor.exe от Касперского и Xorist decryptor не помогли (

Logs.7z

Изменено 13 февраля пользователем foroven

13 февраля

Этот файл заархивируйте с паролем virus, добавьте в ваше сообщение.

2025-02-12 16:11 - 2023-08-08 17:58 - 000510176 _____ C:\Users\Sale1\Documents\89.exe

+ если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Файл можно будет удалить.

Если есть другие пары чистый-зашифрованный, так же добавьте несколько в архиве без пароля, желательно чтобы это были jpg, doc, xls

Изменено 14 февраля пользователем safety

14 февраля

89.7z Добрый день. Зашифрованных файлов doc или jpg нет, Шифровальщик прошелся видимо только по базам. Пароль на архив: virus

Изменено 14 февраля пользователем foroven

14 февраля

89.exe - не похоже, что это тело шифровальщика:

https://virusscan.jotti.org/ru-RU/filescanjob/kgib33bp54

либо пара была неудачная, либо что-то еще.

+

если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Затем файл можно будет удалить.

Изменено 14 февраля пользователем safety

14 февраля

12 - копия.7z

12.7z

14 февраля

12.exe - да , это похоже на }{orist

https://virusscan.jotti.org/ru-RU/filescanjob/19u7gc6val

Надо получить пару, тогда можно будет проверить расшифровку ваших файлов.

Ждем некоторое время.

Судя по ключу автозапуска это }{orist,

Шифрует с расширением er

Изменено 14 февраля пользователем safety

14 февраля

Ключ найден.

Проверяю расшифровку вашего файла.

Encrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD.er
Decrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD
Status: Successfully decrypted!

Изменено 14 февраля пользователем safety

14 февраля

Проверьте ЛС

14 февраля

Это очень здорово! Вы большие молодцы. Какие наши дальнейшие действия?

Изменено 14 февраля пользователем safety

14 февраля

обновите страницу и еще раз проверьте

xorist [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

Рекомендуемые сообщения

foroven

Ссылка на комментарий

Поделиться на другие сайты

foroven

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

foroven

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

foroven

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

foroven

Ссылка на комментарий

Поделиться на другие сайты

safety

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum