Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

foroven
 Share

Рекомендуемые сообщения

foroven Новичок

foroven

Опубликовано
Опубликовано

Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

image.jpeg

Копии.7zПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Этот файл заархивируйте с паролем virus, добавьте в ваше сообщение.

2025-02-12 16:11 - 2023-08-08 17:58 - 000510176 _____ C:\Users\Sale1\Documents\89.exe

+ если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Файл можно будет удалить.

 

Если есть другие пары чистый-зашифрованный, так же добавьте несколько в архиве без пароля, желательно чтобы это были jpg, doc, xls

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
foroven Новичок

foroven

Опубликовано
  • Автор
Опубликовано (изменено)

89.7z Добрый день. Зашифрованных файлов doc или jpg нет, Шифровальщик прошелся видимо только по базам. Пароль на архив: virus

Изменено пользователем foroven
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

89.exe - не похоже, что это тело шифровальщика:

https://virusscan.jotti.org/ru-RU/filescanjob/kgib33bp54

 

либо пара  была неудачная, либо что-то еще.

+

если возможно, файл 12.exe восстановить из карантина, и так же добавить в архив с паролем virus, Архив добавить в ваше сообщение. Затем файл можно будет удалить.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

12.exe - да , это похоже на }{orist

https://virusscan.jotti.org/ru-RU/filescanjob/19u7gc6val

Надо получить пару, тогда можно будет проверить расшифровку ваших файлов.

Ждем некоторое время.

 

Судя по ключу автозапуска это }{orist,

image.png

 

Шифрует с расширением er

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Ключ найден.

 

image.png

Проверяю расшифровку вашего файла.

 

Encrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD.er
Decrypted file: D:\DATA\Encoder_files\Xorist\ER\TargetFile\1Cv8tmp.1CD
Status: Successfully decrypted!

 

 

Изменено пользователем safety
  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты
foroven Новичок

foroven

Опубликовано
  • Автор
Опубликовано (изменено)

Это очень здорово! Вы большие молодцы. Какие наши дальнейшие действия?

 

 
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety changed the title to [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...