Перейти к содержанию

[РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

foroven
 Поделиться

Рекомендуемые сообщения

foroven

foroven

Опубликовано
Опубликовано

Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

image.jpeg

Копии.7z

foroven

foroven

Опубликовано
  • Автор
Опубликовано (изменено)

xoristdecryptor.exe от Касперского и Xorist decryptor не помогли ( 

Logs.7z

Изменено пользователем foroven
safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл заархивируйте с паролем virus, добавьте в ваше сообщение.

2025-02-12 16:11 - 2023-08-08 17:58 - 000510176 _____ C:\Users\Sale1\Documents\89.exe

+ если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Файл можно будет удалить.

 

Если есть другие пары чистый-зашифрованный, так же добавьте несколько в архиве без пароля, желательно чтобы это были jpg, doc, xls

 

Изменено пользователем safety
foroven

foroven

Опубликовано
  • Автор
Опубликовано (изменено)

89.7z Добрый день. Зашифрованных файлов doc или jpg нет, Шифровальщик прошелся видимо только по базам. Пароль на архив: virus

Изменено пользователем foroven
safety

safety

Опубликовано
Опубликовано (изменено)

89.exe - не похоже, что это тело шифровальщика:

https://virusscan.jotti.org/ru-RU/filescanjob/kgib33bp54

 

либо пара  была неудачная, либо что-то еще.

+

если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Затем файл можно будет удалить.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

12.exe - да , это похоже на }{orist

https://virusscan.jotti.org/ru-RU/filescanjob/19u7gc6val

Надо получить пару, тогда можно будет проверить расшифровку ваших файлов.

Ждем некоторое время.

 

Судя по ключу автозапуска это }{orist,

image.png

 

Шифрует с расширением er

image.png

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Ключ найден.

 

image.png

Проверяю расшифровку вашего файла.

 

Encrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD.er
Decrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD
Status: Successfully decrypted!

 

 

Изменено пользователем safety
  • Like (+1) 2
foroven

foroven

Опубликовано
  • Автор
Опубликовано (изменено)

Это очень здорово! Вы большие молодцы. Какие наши дальнейшие действия?

 

 
Изменено пользователем safety
  • safety изменил название на [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Art21
      Зашифрованы файлы
      Автор Art21
      Всем привет!  Такая же ситуация с файлами, помогите пож-та
      test.doc.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Magic_The
      рансомвер
      Автор Magic_The
      Здравствуйте, поймал данный шифратор, файлы восстановил, прошу убрать все файлы с этим окончанием ".wannacry", спасибо.
       
       
      FRST.txt Addition.txt
    • eansmol
      [РАСШИФРОВАНО] Вирус-шифровальщик, тип файлов CRYPTED!, расширение EnCiPhErEd (почта злоумышленников rana490345@yandex.ru)
      Автор eansmol
      Здравствуйте!
       
      Прошу помочь в борьбе с вирусом и расшифровать файлы.
      После заражения компьютера типы файлов стали CRYPTED!, а расширение переименовано в EnCiPhErEd.
      в файле КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt указана почта злоумышленников - rana490345@yandex.ru
       
      Заранее премного благодарен за помощь!
       
       
      CollectionLog-2018.09.04-10.22.zip
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Sidri
      [РАСШИФРОВАНО]Шифровальщик ransom:Win32/Sorikrypt
      Автор Sidri
      Доброго дня.
      Антивирусом Windows найден шифровальщик ransom:Win32/Sorikrypt. Cureit не нашел ничего.
      В архиве зашифрованные файлы, файл с требованием денег и папка с каким-то ключом.
       
      Addition.txt FRST.txt зашифрованные_файлы.zip
×
×
  • Создать...