Перейти к содержанию

Шифровальщик Xorist

Bornmks
 Share

Рекомендуемые сообщения

Bornmks Новичок

Bornmks

Опубликовано
Опубликовано

Необходима ваша помощь в расшифровке этого вируса.

Везде лежит тхт

 

Все файлы на вашем ПК зашифрованы!

Для расшифровки файлов, вам необходимо написать на email: boxfu@ya.ru

В письме необходимо указать id вашего ПК: box1736

 

Стоимость расшифровки 12500 руб., спешите скоро цена вырастет!

 

Мне нужно скачать AVZ и выполнить скрипт там? Если потребуется Connection Log, подскажите где его откопать?

Ссылка на комментарий
Поделиться на другие сайты
Bornmks Новичок

Bornmks

Опубликовано
  • Автор
Опубликовано

Необходима ваша помощь в расшифровке этого вируса.
Везде лежит тхт

Все файлы на вашем ПК зашифрованы!
Для расшифровки файлов, вам необходимо написать на email: boxfu@ya.ru
В письме необходимо указать id вашего ПК: box1736

Стоимость расшифровки 12500 руб., спешите скоро цена вырастет!

 

 

скрипт в AVG который Тирекс говорит выполнить уже был выполнен. Лог был сделан после выполнения скрипта.
файл зашифрованный приложил.

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

Я потом понял что файл забыл и вложил, а тема подумал удалена, создал новую.

CollectionLog-2017.05.24-15.49.zip

Документ Microsoft Office Word (11).docx.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

скрипт в AVG который Тирекс говорит выполнить уже был выполнен

выполнение скриптов, написанных не для Вас, чревато.

 

Проверьте ЛС

Ссылка на комментарий
Поделиться на другие сайты
Bornmks Новичок

Bornmks

Опубликовано
  • Автор
Опубликовано

 

скрипт в AVG который Тирекс говорит выполнить уже был выполнен

выполнение скриптов, написанных не для Вас, чревато.

 

Проверьте ЛС

 

Спасибо большое, помогло)

Ссылка на комментарий
Поделиться на другие сайты
Bornmks Новичок

Bornmks

Опубликовано
  • Автор
Опубликовано (изменено)

 

скрипт в AVG который Тирекс говорит выполнить уже был выполнен

выполнение скриптов, написанных не для Вас, чревато.

 

Проверьте ЛС

 

только всё закончилось, снова появился вирус, злоумышленники поставили удалёнку на комп. Удалёнку потушил, вирус сейчас убью, теперь пишет расширение файлов fun07306 а тип файлов пишет CRYPTED!, но некоторые XML файлы зашифровало в LOCK,  лог прикладываю, никаких скриптов не выполнял, только автологгер запускал и касперский, который кстати опять удалял Xorist

 

Текст нового сообщения - 

Все файлы на вашем ПК зашифрованы!
Для расшифровки файлов, вам необходимо написать на email: funox@ya.ru
В письме необходимо указать ваш id: fun07306
 
Стоимость расшифровки файлов 12500 руб., спешите! Скоро цена будет выше!

Так же файлы с раширением 1cd сменили расширение на CFL

CollectionLog-2017.05.27-05.34.zip

Изменено пользователем Bornmks
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ну если Вас ломают по RDP, то пора задуматься о смене пароля к нему.

 

Образец зашифрованного doc или docx файла пришлите в архиве. Ну и файл 1cd тоже.

Ссылка на комментарий
Поделиться на другие сайты
Bornmks Новичок

Bornmks

Опубликовано
  • Автор
Опубликовано

Ну если Вас ломают по RDP, то пора задуматься о смене пароля к нему.

 

Образец зашифрованного doc или docx файла пришлите в архиве. Ну и файл 1cd тоже.

сам файл базы 1с не могу прикрепить, самый маленький что есть, весит 360 мб. в архиве ре марк лежат файлы зашифрованные в тот же формат и тоже взяты из папки с базой

от рдп пароль менял они ставят Dame Ware и устанавливают как службу.

Документ Microsoft Office Word (11).docx.rar

РЕ МАРК.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

от рдп пароль менял они ставят Dame Ware и устанавливают как службу.

Ну так как можно установить что-то сторонее, не получив доступ к системе. Информационная безопасность у Вас на нуле.

 

в архиве ре марк лежат файлы зашифрованные в тот же формат и тоже взяты из папки с базой

сначала стоило бы посмотреть на их размер - они все нулевые.

 

Проверьте ЛС

Ссылка на комментарий
Поделиться на другие сайты
Bornmks Новичок

Bornmks

Опубликовано
  • Автор
Опубликовано

 

от рдп пароль менял они ставят Dame Ware и устанавливают как службу.

Ну так как можно установить что-то сторонее, не получив доступ к системе. Информационная безопасность у Вас на нуле.

 

в архиве ре марк лежат файлы зашифрованные в тот же формат и тоже взяты из папки с базой

сначала стоило бы посмотреть на их размер - они все нулевые.

 

Проверьте ЛС

 

да там дело то казалось так -, эту удалёнку (DAME WARE) прислали на почту бухгалтеру, в первый раз удалили всё, поменялись пароли на рдп для всех компьютеров и учеток, поменялся пароль на главный роутер, поменяли все пароли на teamviewer, была удалена удалёнка называвшаяся (SKBKONTUR), прочекано KVRT, проверены службы и процессы. Вечером опять звонят, стоит опять dame ware, и всё в шифре новом. Утром будет инструкция для бухгалтера)

Вам огрооомнейшее спасибо за еще одно решение проблемы.

 

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Так база с расширением CFL будет? На Яндекс диск выложите и ссылку пришлите в ЛС. И xml файлы с расширением LOCK тоже пришлите

Ссылка на комментарий
Поделиться на другие сайты
Bornmks Новичок

Bornmks

Опубликовано
  • Автор
Опубликовано

Так база с расширением CFL будет? На Яндекс диск выложите и ссылку пришлите в ЛС. И xml файлы с расширением LOCK тоже пришлите

Да, вроде пока всё работает, если вдруг обнаружится что, я отпишусь обязательно.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...