Перейти к содержанию

Помогите с расшифровкой файлов Trojan-Ransom.Win32.Xorist.ln


Рекомендуемые сообщения

Добрый день, помогите пожалуйста с расшифровкой файлов. Взломали рабочий компьютер с программой 1С. У нас маленькое ТСЖ вся важная информация на нем. Нужно спасти хотя бы базу данных, все остальное не важно.

Ссылка на сообщение
Поделиться на другие сайты

В общем вот дополнительная информация, на ноутбуке был пользователь user, сегодня при запуске компьютера стоял пользователь user12, пароль подобрать так и не смогли, пришлось удалять пароль аккаунта через правку реестра. При запуске практически весь рабочий стол пустой. Все папки пустые, в них только файлы с требованием. Пользователя "user" не существует На ноутбуке два диска, один с системой 120 GB второй на 500, там стоял Консультант и хранились резервные базы 1с, диск так же пустой, либо выглядит как пустой (Написано свободно 465Гб из 465Гб, хотя он был на половину полон). Нашел папку "Дешефратор" там, при запуске, запускается приложение, я сделал его скриншот и приложил к файлам. Уязвимость была, на данном компе был открыт удаленный доступ и работал бухгалтер по удаленке.

FRST.rar зашифрованые + требования.rar

Ссылка на сообщение
Поделиться на другие сайты
51 минуту назад, kuzHunteR сказал:

Нашел папку "Дешефратор"

Заархивируйте с паролем virus, выложите на https://dropmefiles.com и пришлите ссылку мне в личные сообщения.

 

Также в этот архив упакуйте и файл C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe

 

Прикрепите в архиве к следующему сообщению пример зашифрованного .doc или .docx файла.

 

Цитата

App Explorer

удалите через Установку программ

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Alcmeter] => C:\Users\user\AppData\Local\Temp\ye1FnLK22RSmmfp.exe [7680 2020-07-15] () [File not signed] [File is in use] <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-07-15] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {DAB6026A-0BD2-4F41-B15A-864A76747716} - System32\Tasks\App Explorer => C:\Users\user12\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7941288 2020-05-30] (SweetLabs Inc. -> SweetLabs, Inc) <==== ATTENTION
2020-07-26 13:22 - 2020-07-27 20:14 - 000000000 ____D C:\Users\user12\AppData\Local\Host App Service
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-26 13:22 - 2020-07-15 04:35 - 000000570 _____ C:\Users\user12\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2020-07-15 04:35 - 2020-07-15 04:35 - 000000570 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, файлы расшифровались. Только это мало помогло, видимо базу 1с утащили вместе с документами рабочего стола. Расшифровывать просто нечего.

Ссылка на сообщение
Поделиться на другие сайты

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, thyrex сказал:

Или просто удалили. Ибо сомнительно, что такие объемы информации злодеи будут перекачивать к себе.

 

А пользователя user они просто переименовали в user12 и установили пароль.

В общем я сейчас посмотрел статистику, исходящего трафика 16.07 - 9гб; 17.07 - 20гб; 18.07 - 50гб; и т.д. в общем итоге за неделю было выкачано около 240 Гб, именно столько сколько и пропало. Вот жесть.

Ссылка на сообщение
Поделиться на другие сайты

Жуть :(

Долго они трудились, перед тем как запустить шифрование.

 

К слову, тот файл, который якобы должен быть декодером от злодеев, на самом деле пустышка: по нажатию на кнопки просто появляются диалоговые окна с сообщениями, и окно для ввода ключа активации - тоже липа. Никакой связи по интернету не происходит.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Magic_The
      Здравствуйте, поймал данный шифратор, файлы восстановил, прошу убрать все файлы с этим окончанием ".wannacry", спасибо.
       
       
      FRST.txt Addition.txt
    • От admi.dk
      За несколько недель до шифрации при бездействии пк экран блокировался как при экране смены пользователя. Выходила запись, что вход осуществлен через GUEST, хотя такого пользователя на пк нет. под учетной записью администратора в папке загрузок найдена папка "дешифратор", которая была перемещена на флеш и удалена с пк. Проверка dr.web cureit ничего не выявила, установленный антивирус ничего не сообщал и не блокировал.
       
      Помогите расшифровать
      КАК РАСШИФРОВАТЬ ФАЙЛЫ.zip
    • От CIT
      Здравствуйте. На сервер был пойман шифровальщик. Выдает окно с текстом.
      Attention, all your files have been encrypted.
      To access your files again, you must pay for the decryption keys.
      The amount you have to pay is 0.15 BITCOIN

      You can get bitcoin very easily on these sites:
      www.localbitcoins.com
      www.paxful.com

      The decryption process:
      Send 0.15 Bitcoin to this address:
      1Cc6m6b6mgks7e9cQBknNWQcJj69x2y3U1

      After submitting, contact me at this email address: cryoteons@protonmail.com
      With this subject: CRYOTEONS015-2938129322

      After completing all these steps, you will be emailed the keys and a tutorial to decrypt the files.

      Here's another list of where to buy bitcoin:
      https://bitcoin.org/en/exchanges



      Прикрепляю файл логов
      CollectionLog-2020.06.09-11.10.zip
    • От Tabledrop
      Здравствуйте. На сервер был пойман шифровальщик. Выдает окно с текстом.
      Attention, all your files have been encrypted.
      To access your files again, you must pay for the decryption keys.
      The amount you have to pay is 0.15 BITCOIN

      You can get bitcoin very easily on these sites:
      www.localbitcoins.com
      www.paxful.com

      The decryption process:
      Send 0.15 Bitcoin to this address:
      1Cc6m6b6mgks7e9cQBknNWQcJj69x2y3U1

      After submitting, contact me at this email address: cryoteons@protonmail.com
      With this subject: CRYOTEONS015-2938129322

      After completing all these steps, you will be emailed the keys and a tutorial to decrypt the files.

      Here's another list of where to buy bitcoin:
      https://bitcoin.org/en/exchanges



      Прикрепляю файл для примера.
      Договор найма.docx.CrYo
    • От IIKOman
      Добрый день, умудрились поймать шифровальщик, KVRT определил его как Xorist.
      Выплнил все действия в соответствии с Порядок оформления запроса о помощи.
      Log файл прилагается.
      Есть ли возможность обратить сделанные им действия ?
       
      CollectionLog-2017.07.04-15.07.zip
×
×
  • Создать...