Перейти к содержанию

[РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

foroven
 Поделиться

Рекомендуемые сообщения

foroven Новичок

foroven

Опубликовано
Опубликовано

Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

image.jpeg

Копии.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Этот файл заархивируйте с паролем virus, добавьте в ваше сообщение.

2025-02-12 16:11 - 2023-08-08 17:58 - 000510176 _____ C:\Users\Sale1\Documents\89.exe

+ если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Файл можно будет удалить.

 

Если есть другие пары чистый-зашифрованный, так же добавьте несколько в архиве без пароля, желательно чтобы это были jpg, doc, xls

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
foroven Новичок

foroven

Опубликовано
  • Автор
Опубликовано (изменено)

89.7z Добрый день. Зашифрованных файлов doc или jpg нет, Шифровальщик прошелся видимо только по базам. Пароль на архив: virus

Изменено пользователем foroven
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

89.exe - не похоже, что это тело шифровальщика:

https://virusscan.jotti.org/ru-RU/filescanjob/kgib33bp54

 

либо пара  была неудачная, либо что-то еще.

+

если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Затем файл можно будет удалить.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

12.exe - да , это похоже на }{orist

https://virusscan.jotti.org/ru-RU/filescanjob/19u7gc6val

Надо получить пару, тогда можно будет проверить расшифровку ваших файлов.

Ждем некоторое время.

 

Судя по ключу автозапуска это }{orist,

image.png

 

Шифрует с расширением er

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Ключ найден.

 

image.png

Проверяю расшифровку вашего файла.

 

Encrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD.er
Decrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD
Status: Successfully decrypted!

 

 

Изменено пользователем safety
  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты
  • safety изменил название на [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • The_LastNight
      Словил MEM: Trojan. Multi.Agent.Gen
      Автор The_LastNight
      Добрый день! После посещения несколько сайтов словил вирус MEM: TROJAN. MULTI.AGENT.GEN. Касперский его видит, но удалить не может, появляется снова. Некоторые способы с форума уже пробовал, не помогли.
    • Safurai
      trojan-Dropper.Win64.Mine
      Автор Safurai
      2025-02-17_02-06-10_log.txtFRST.txtAddition.txtHiJackThis.loginfo.txtlog.txtCheck_Browsers_LNK.log
    • MultiFace
      Trojan MEM SEPEH gen не удаляется
      Автор MultiFace
      Добрый день, касперски обнаружил 76 объектов вредоносных, но не может удалить 
      Помогите в решении пожалуйста 
      CollectionLog-2025.02.21-18.47.zip 111.txt avz_log.txt
    • OLEGGih
      [РЕШЕНО] conhost trojan multi agent gen
      Автор OLEGGih
      Здравствуйте. Антивирус ругается на conhost trojan multi agent gen. При лечении с перезагрузкой удалить не может. Установлен Kaspersky Free. Помогите пожалуйста
      CollectionLog-2025.03.11-15.09.zip
×
×
  • Создать...