Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln

kuzHunteR
 Share

Рекомендуемые сообщения

kuzHunteR Новичок

kuzHunteR

Опубликовано
Опубликовано

Добрый день, помогите пожалуйста с расшифровкой файлов. Взломали рабочий компьютер с программой 1С. У нас маленькое ТСЖ вся важная информация на нем. Нужно спасти хотя бы базу данных, все остальное не важно.

Ссылка на комментарий
Поделиться на другие сайты
kuzHunteR Новичок

kuzHunteR

Опубликовано
  • Автор
Опубликовано

В общем вот дополнительная информация, на ноутбуке был пользователь user, сегодня при запуске компьютера стоял пользователь user12, пароль подобрать так и не смогли, пришлось удалять пароль аккаунта через правку реестра. При запуске практически весь рабочий стол пустой. Все папки пустые, в них только файлы с требованием. Пользователя "user" не существует На ноутбуке два диска, один с системой 120 GB второй на 500, там стоял Консультант и хранились резервные базы 1с, диск так же пустой, либо выглядит как пустой (Написано свободно 465Гб из 465Гб, хотя он был на половину полон). Нашел папку "Дешефратор" там, при запуске, запускается приложение, я сделал его скриншот и приложил к файлам. Уязвимость была, на данном компе был открыт удаленный доступ и работал бухгалтер по удаленке.

FRST.rar зашифрованые + требования.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
51 минуту назад, kuzHunteR сказал:

Нашел папку "Дешефратор"

Заархивируйте с паролем virus, выложите на https://dropmefiles.com и пришлите ссылку мне в личные сообщения.

 

Также в этот архив упакуйте и файл C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe

 

Прикрепите в архиве к следующему сообщению пример зашифрованного .doc или .docx файла.

 

Цитата

App Explorer

удалите через Установку программ

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Alcmeter] => C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe [7680 2020-07-15] () [File not signed] [File is in use] <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {DAB6026A-0BD2-4F41-B15A-864A76747716} - System32\Tasks\App Explorer => C:\Users\user12\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7941288 2020-05-30] (SweetLabs Inc. -> SweetLabs, Inc) <==== ATTENTION
2020-07-26 13:22 - 2020-07-27 20:14 - 000000000 ____D C:\Users\user12\AppData\Local\Host App Service
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
kuzHunteR Новичок

kuzHunteR

Опубликовано
  • Автор
Опубликовано

Спасибо, файлы расшифровались. Только это мало помогло, видимо базу 1с утащили вместе с документами рабочего стола. Расшифровывать просто нечего.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

Ссылка на комментарий
Поделиться на другие сайты
kuzHunteR Новичок

kuzHunteR

Опубликовано
  • Автор
Опубликовано
9 часов назад, thyrex сказал:

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

В общем я сейчас посмотрел статистику, исходящего трафика 16.07 - 9гб; 17.07 - 20гб; 18.07 - 50гб; и т.д. в общем итоге за неделю было выкачано около 240 Гб, именно столько сколько и пропало. Вот жесть.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Жуть :(

Долго они трудились, перед тем как запустить шифрование.

 

К слову, тот файл, который якобы должен быть декодером от злодеев, на самом деле пустышка: по нажатию на кнопки просто появляются диалоговые окна с сообщениями, и окно для ввода ключа активации - тоже липа. Никакой связи по интернету не происходит.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • parnishka
      UDS.Trojan Multigeneric и UDS Trojan Shelm, помогите!
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Razor103
      Помогите в расшифровке файлов
      От Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
×
×
  • Создать...