xorist Зашифрованные файлы - шифровальщик Ransom: Win32/Sorikrypt.A

[yarik2v3]

Здравствуйте! Прошу помощи в расшифровке файлов после Sorikrypt.A. Имел неосторожность открыть доступ к компютеру через RDP. Несмотря на то что у меня нет статического IP(использовал AsusDNS) вредителям удалось создать для РДП своего пользователя, дать все права и зайти на компютер. О последствиях: всё зашифровано + к всему был запущен майнер. Очень нужно восстановить фото(семейный фотоальбом). Лог собрал:

 

CollectionLog-2017.06.29-18.55.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
ExecuteFile('schtasks.exe', '/delete /TN "{B891ADBF-0D19-4145-942F-0EE665BB04F7}" /F', 0, 15000, true);
 QuarantineFile('C:\Users\server_home\appdata\local\temp\3g7h66110m3vxey.exe','');
 QuarantineFile('C:\Users\server_home\Desktop\cripted.exe','');
 DeleteFile('C:\Users\server_home\Desktop\cripted.exe','32');
 DeleteFile('C:\Users\server_home\appdata\local\temp\3g7h66110m3vxey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[yarik2v3]

Архив с карантина почему то под паролем. в авторежыме пришло письмо:  
KLAN-6474420809
"During the scan in automatic mode, your archive could not be extracted. Please send us the password you used to protect the archive or create a new archive with the password “infected” (without quotes) and send it to us.

quarantine.zip"

вот оновленный лог 

CollectionLog-2017.07.02-12.50.zip

[thyrex]

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению

[yarik2v3]

Образцы зашифрованных файлов

Desktop.zip

[thyrex]

Присланные файлы не зашифрованы, а просто переименованы.

 

Ищите зашифрованные файлы.

[yarik2v3]

Попитка №2))) 

Desktop.zip

[thyrex]

Да, эти зашифрованы. Но Вам придется перед расшифровкой проверять вручную, зашифрован ли файл или просто переименован.

 

Проверьте ЛС.