Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln

kuzHunteR
 Поделиться

Рекомендуемые сообщения

kuzHunteR Новичок

kuzHunteR

Опубликовано
Опубликовано

Добрый день, помогите пожалуйста с расшифровкой файлов. Взломали рабочий компьютер с программой 1С. У нас маленькое ТСЖ вся важная информация на нем. Нужно спасти хотя бы базу данных, все остальное не важно.

Ссылка на комментарий
Поделиться на другие сайты
kuzHunteR Новичок

kuzHunteR

Опубликовано
  • Автор
Опубликовано

В общем вот дополнительная информация, на ноутбуке был пользователь user, сегодня при запуске компьютера стоял пользователь user12, пароль подобрать так и не смогли, пришлось удалять пароль аккаунта через правку реестра. При запуске практически весь рабочий стол пустой. Все папки пустые, в них только файлы с требованием. Пользователя "user" не существует На ноутбуке два диска, один с системой 120 GB второй на 500, там стоял Консультант и хранились резервные базы 1с, диск так же пустой, либо выглядит как пустой (Написано свободно 465Гб из 465Гб, хотя он был на половину полон). Нашел папку "Дешефратор" там, при запуске, запускается приложение, я сделал его скриншот и приложил к файлам. Уязвимость была, на данном компе был открыт удаленный доступ и работал бухгалтер по удаленке.

FRST.rar зашифрованые + требования.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
51 минуту назад, kuzHunteR сказал:

Нашел папку "Дешефратор"

Заархивируйте с паролем virus, выложите на https://dropmefiles.com и пришлите ссылку мне в личные сообщения.

 

Также в этот архив упакуйте и файл C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe

 

Прикрепите в архиве к следующему сообщению пример зашифрованного .doc или .docx файла.

 

Цитата

App Explorer

удалите через Установку программ

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Alcmeter] => C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe [7680 2020-07-15] () [File not signed] [File is in use] <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {DAB6026A-0BD2-4F41-B15A-864A76747716} - System32\Tasks\App Explorer => C:\Users\user12\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7941288 2020-05-30] (SweetLabs Inc. -> SweetLabs, Inc) <==== ATTENTION
2020-07-26 13:22 - 2020-07-27 20:14 - 000000000 ____D C:\Users\user12\AppData\Local\Host App Service
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
kuzHunteR Новичок

kuzHunteR

Опубликовано
  • Автор
Опубликовано

Спасибо, файлы расшифровались. Только это мало помогло, видимо базу 1с утащили вместе с документами рабочего стола. Расшифровывать просто нечего.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

Ссылка на комментарий
Поделиться на другие сайты
kuzHunteR Новичок

kuzHunteR

Опубликовано
  • Автор
Опубликовано
9 часов назад, thyrex сказал:

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

В общем я сейчас посмотрел статистику, исходящего трафика 16.07 - 9гб; 17.07 - 20гб; 18.07 - 50гб; и т.д. в общем итоге за неделю было выкачано около 240 Гб, именно столько сколько и пропало. Вот жесть.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Жуть :(

Долго они трудились, перед тем как запустить шифрование.

 

К слову, тот файл, который якобы должен быть декодером от злодеев, на самом деле пустышка: по нажатию на кнопки просто появляются диалоговые окна с сообщениями, и окно для ввода ключа активации - тоже липа. Никакой связи по интернету не происходит.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Red13107
      проблема с расшифровкой файлов
      Автор Red13107
      Здраствуйте, не получается расшифровать 23 файла с помощью shadedecryptor. пишет ошибка и не может подобрать ключ.
      Addition.txt FRST.txt README1.txt Новая папка.rar
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
×
×
  • Создать...