Перейти к содержанию

Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln

kuzHunteR
 Поделиться

Рекомендуемые сообщения

kuzHunteR

kuzHunteR

Опубликовано
Опубликовано

Добрый день, помогите пожалуйста с расшифровкой файлов. Взломали рабочий компьютер с программой 1С. У нас маленькое ТСЖ вся важная информация на нем. Нужно спасти хотя бы базу данных, все остальное не важно.

kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано

В общем вот дополнительная информация, на ноутбуке был пользователь user, сегодня при запуске компьютера стоял пользователь user12, пароль подобрать так и не смогли, пришлось удалять пароль аккаунта через правку реестра. При запуске практически весь рабочий стол пустой. Все папки пустые, в них только файлы с требованием. Пользователя "user" не существует На ноутбуке два диска, один с системой 120 GB второй на 500, там стоял Консультант и хранились резервные базы 1с, диск так же пустой, либо выглядит как пустой (Написано свободно 465Гб из 465Гб, хотя он был на половину полон). Нашел папку "Дешефратор" там, при запуске, запускается приложение, я сделал его скриншот и приложил к файлам. Уязвимость была, на данном компе был открыт удаленный доступ и работал бухгалтер по удаленке.

FRST.rar зашифрованые + требования.rar

thyrex

thyrex

Опубликовано
Опубликовано
51 минуту назад, kuzHunteR сказал:

Нашел папку "Дешефратор"

Заархивируйте с паролем virus, выложите на https://dropmefiles.com и пришлите ссылку мне в личные сообщения.

 

Также в этот архив упакуйте и файл C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe

 

Прикрепите в архиве к следующему сообщению пример зашифрованного .doc или .docx файла.

 

Цитата

App Explorer

удалите через Установку программ

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Alcmeter] => C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe [7680 2020-07-15] () [File not signed] [File is in use] <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {DAB6026A-0BD2-4F41-B15A-864A76747716} - System32\Tasks\App Explorer => C:\Users\user12\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7941288 2020-05-30] (SweetLabs Inc. -> SweetLabs, Inc) <==== ATTENTION
2020-07-26 13:22 - 2020-07-27 20:14 - 000000000 ____D C:\Users\user12\AppData\Local\Host App Service
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано (изменено)

К сожалению файлы doc и docx не нашел, они как будто исчезли. 

 

Fixlog.zip

Изменено пользователем kuzHunteR
kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано

Спасибо, файлы расшифровались. Только это мало помогло, видимо базу 1с утащили вместе с документами рабочего стола. Расшифровывать просто нечего.

thyrex

thyrex

Опубликовано
Опубликовано

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано
9 часов назад, thyrex сказал:

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

В общем я сейчас посмотрел статистику, исходящего трафика 16.07 - 9гб; 17.07 - 20гб; 18.07 - 50гб; и т.д. в общем итоге за неделю было выкачано около 240 Гб, именно столько сколько и пропало. Вот жесть.

thyrex

thyrex

Опубликовано
Опубликовано

Жуть :(

Долго они трудились, перед тем как запустить шифрование.

 

К слову, тот файл, который якобы должен быть декодером от злодеев, на самом деле пустышка: по нажатию на кнопки просто появляются диалоговые окна с сообщениями, и окно для ввода ключа активации - тоже липа. Никакой связи по интернету не происходит.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • SZ1
      [Расшифровано] Помогите расшифровать файлы Trojan-Ransom.Win32.Crypmod.acdk
      Автор SZ1
      Здравствуйте, помогите расшифровать файлы зашифрованные шифровальщиком Trojan-Ransom.Win32.Crypmod.acdk
       
      Архив с зашифрованным файлом и шифровальщиком: удалено
      Пароль от архива: infect
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них.
    • Сергей Ков
      Помогите с расшифровкой файлов
      Автор Сергей Ков
      Помогите с утилитой расшифровки файлов. Файлы стали формата LXOEXVOXM
    • Razor103
      Помогите в расшифровке файлов
      Автор Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
×
×
  • Создать...