Перейти к содержанию

Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln

kuzHunteR
 Поделиться

Рекомендуемые сообщения

kuzHunteR

kuzHunteR

Опубликовано
Опубликовано

Добрый день, помогите пожалуйста с расшифровкой файлов. Взломали рабочий компьютер с программой 1С. У нас маленькое ТСЖ вся важная информация на нем. Нужно спасти хотя бы базу данных, все остальное не важно.

kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано

В общем вот дополнительная информация, на ноутбуке был пользователь user, сегодня при запуске компьютера стоял пользователь user12, пароль подобрать так и не смогли, пришлось удалять пароль аккаунта через правку реестра. При запуске практически весь рабочий стол пустой. Все папки пустые, в них только файлы с требованием. Пользователя "user" не существует На ноутбуке два диска, один с системой 120 GB второй на 500, там стоял Консультант и хранились резервные базы 1с, диск так же пустой, либо выглядит как пустой (Написано свободно 465Гб из 465Гб, хотя он был на половину полон). Нашел папку "Дешефратор" там, при запуске, запускается приложение, я сделал его скриншот и приложил к файлам. Уязвимость была, на данном компе был открыт удаленный доступ и работал бухгалтер по удаленке.

FRST.rar зашифрованые + требования.rar

thyrex

thyrex

Опубликовано
Опубликовано
51 минуту назад, kuzHunteR сказал:

Нашел папку "Дешефратор"

Заархивируйте с паролем virus, выложите на https://dropmefiles.com и пришлите ссылку мне в личные сообщения.

 

Также в этот архив упакуйте и файл C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe

 

Прикрепите в архиве к следующему сообщению пример зашифрованного .doc или .docx файла.

 

Цитата

App Explorer

удалите через Установку программ

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Alcmeter] => C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe [7680 2020-07-15] () [File not signed] [File is in use] <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {DAB6026A-0BD2-4F41-B15A-864A76747716} - System32\Tasks\App Explorer => C:\Users\user12\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7941288 2020-05-30] (SweetLabs Inc. -> SweetLabs, Inc) <==== ATTENTION
2020-07-26 13:22 - 2020-07-27 20:14 - 000000000 ____D C:\Users\user12\AppData\Local\Host App Service
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано (изменено)

К сожалению файлы doc и docx не нашел, они как будто исчезли. 

 

Fixlog.zip

Изменено пользователем kuzHunteR
kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано

Спасибо, файлы расшифровались. Только это мало помогло, видимо базу 1с утащили вместе с документами рабочего стола. Расшифровывать просто нечего.

thyrex

thyrex

Опубликовано
Опубликовано

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

kuzHunteR

kuzHunteR

Опубликовано
  • Автор
Опубликовано
9 часов назад, thyrex сказал:

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

В общем я сейчас посмотрел статистику, исходящего трафика 16.07 - 9гб; 17.07 - 20гб; 18.07 - 50гб; и т.д. в общем итоге за неделю было выкачано около 240 Гб, именно столько сколько и пропало. Вот жесть.

thyrex

thyrex

Опубликовано
Опубликовано

Жуть :(

Долго они трудились, перед тем как запустить шифрование.

 

К слову, тот файл, который якобы должен быть декодером от злодеев, на самом деле пустышка: по нажатию на кнопки просто появляются диалоговые окна с сообщениями, и окно для ввода ключа активации - тоже липа. Никакой связи по интернету не происходит.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АлексейЧеч
      Интересный вирус. Шифровальщик зашифровал все файлы и удалил их
      Автор АлексейЧеч
      Здравствуйте! Ситуация в следующая,  знакомый бухгалтер обратился за помощью, не смогли войти в 1с. После анализа оказалось, что на сервере удалены все файлы создано два архива с.bin d.bin, которые закрыты паролем естественно в каждом каталоге файл с требованием выкупа. Удаленные файлы почти все возможно восстановить, но все они зашифрованы шифровальщиком с расширение .EnCiPhErEd, диск сейчас не вылечен подключен к другому компьютеру. Расшифровать восстановленные файлы не удается ни xoristdecryptor ни утилитой от Веба. Проверка Kaspersky Security Scan нашла много вирусов Virus.Win32.Neshta.a, и троян trojan-ransom.win32.xorist.ln. Подскажите пожалуйста что сделать, судя по форуму такие данные можно рассшифровать. зараженный файл и его не зашифрованный аналог прилагаю. Если нужны логи программ я не знаю что нужно восстановить удаленные файлы и вылечить сервер или можно делать на компьютере к которому сейчас подключен зараженный диск.   сервер вполне вероятно восстановить не получится а данные очень нужно восстановить.
      222.zip
    • Артём СП
      Зашифровали файлы на ПК. Тип: CRYPTED! расширение *.ryt
      Автор Артём СП
      Здравствуйте!
      01.01.2026 зашифровали файлы на домашнем ПК, работающий как сервер. Зашифровали файлы на OneDrive. Удалили содержимое Яндекс.Диск и очистили корзину.
      03.01.2026 злоумышленники скинули на жесткий диск декодер, но ключа нет.
      Дальше заметил, что из 220 Гб занятого места на диске, осталось 82 Гб информации. Понять не могу, злоумышленники ещё и удалили практически всю информацию!?
    • krechmerda
      вирус шифровальщик
      Автор krechmerda
      Винда грузится, но зашифрованы файлы с документами и 1с. На компе появился файл дешифратор.exe
      CollectionLog-2019.11.27-01.11.zip
    • sbaideq
      Шифровальщик unblocked@email.su
      Автор sbaideq
      недавно заметил что зашифровались все фото на диске.
      указали почту unblocked@email.su и unblocked@tuta.io

      как-то можно вернуть обратно исходники?
    • Dimamusz
      [РЕШЕНО] Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln
      Автор Dimamusz
      Здравствуйте.
      Поймал троян Trojan-Ransom.Win32.Xorist.ln. Все файлы зашифрованы имеют следующий вид (устав pdf_10.jpg.EnCiPhErEd)
      Пробовал воспользоваться Xorist Decryptor (не помог) и RectorDecryptor. После работы RectorDecryptor появились файлы без расширения EnCiPhErEd, но файлы не открываются. Письмо требование прикрепляю. Есть ли надежда на расшифровку?
×
×
  • Создать...