fonix [РАСШИФРОВАНО] Шифровальщик Trojan.Encoder.32210 (.XINOF - #Fonix)

[Atuan]

Добрый день,появилась ли возможность расшифровать файлы зашифрованные Trojan.Encoder.32210 (.XINOF - #Fonix)? Очень нужна помощь по восстановлению данных.

Архив.rar

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Atuan]

прикладываю логи и архив с двумя зашифрованными файлами и требованием взломщиков

Addition.txt FRST.txt Зашифрованные файлы.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] seth.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2020-12-12] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\Kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HP.lnk [2018-02-08]
ShortcutTarget: HP.lnk -> C:\ProgramData\WindowsTask\csrss.vbs (No File)
Startup: C:\Users\Larisa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2020-12-12] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2020-12-12] (Microsoft Corporation) <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
C:\Users\Larisa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

[Atuan]

не совсем понял первые два пункта

 

вот вроде бы

Fixlog.txt

[thyrex]

Мусор в виде активного шифратора почистили.

 

С расшифровкой помочь не сможем.

[Atuan]

т.е за 4 месяца так и не подобрали дешифратор?

[thyrex]

Когда используются криптостойкие алгоритмы шифрования, сделать это невозможно.

[regist]

Пробуйте рассшифровку этой утилитой https://support.kaspersky.ru/10556

[Atuan]

Итак наконец то закончилась двухнедельная эпопея со взломом нашего сервера с помощью вируса шифровальщика XINOF. название вируса указано в заголовке. Отдельная благодарность пользователю regist и всему коллективу лаборатории Касперского. Рассказываю для всех тех кто попадется также как и мы.

Две недели назад наш сервер взломали и зашифровали с помощью вируса,при входе в любую учетку происходила архивация данных,а вместо рабочего стола вылазило окошко с уведомлением о том, что сервер взломали и за разъяснениями надо обращаться на почту decryptioner@uncryptfile.com. На сам рабочий стол удалось попасть в ходе некоторых манипуляций,оказалось под этим окошком было еще одно окошко в котором надо было нажать кнопочку ок и рабочий стол проявился. Естественно был начат поиск решений данной проблемы,перепробована куча способов и написан первый пост в данной теме на форуме (к слову dr web сразу отказались помочь т.к сказали что это невозможно). В ходе длительной переписки (если попросите скину скрины) на английском дело продвигалось так,сначала они запросили 1300 долларов,переведенных в биткоин, за расшифровку, на что я им ответил,что они сошли с ума так как по нашему курсу это больше 100к рублей, на что они любезно согласились сделать мне скидку как русскому человеку до 800 долларов, тогда я стал умолять их проявить сострадание,давить на совесть и.т.д., итог, в ходе торгов цена достигла 500 долларов. Самое интересное что в переписке они называли себя не иначе как компания предоставляющая услуги по дешифровке данных,а когда я завуалированно назвал их хакерами они оскорбились. В общем и целом было принято решение заплатить эти 500 долларов. сегодня в 20.00 по времени Москвы был совершен перевод через обменник биткоинов в размере 37000 рублей в валюту BTC на кошелек который они мне прислали в переписке. Я решил напоследок на всякий случай зайти на этот форум,проверить может кто нибудь что нибудь полезное написал. И увидел пост пользователя REGIST в моей теме про утилиту дешифровки RakhiniDescryptor, решил еще раз попробовать. А надо сказать, что в ходе поисков на сторонних ресурсах я находил упоминание этой утилиты и даже скачивал ее,но она мне не помогла никак. Название той утилиты было rectordecryptor с логотипом Касперского. Запускаю Rakhini скачанный с сайта Касперского и ВДРУГ о ЧУДО,файлы начинают расшифровываться!!!!!!! Я тут же бросился на обменник на котором переводил деньги и,хотя прошел уже час с момента транзакции они вошли в мое положение и смогли отменить перевод, правда сказали что есть небольшая потеря за комиссии в размере 2700 рублей,но это абсолютно мелочь (обменник валют на котором я делал перевод bchange.cc)В любом случае огромная им благодарность как и всем кто помогал мне с решением данной проблемы. Надеюсь моя история поможет хоть кому нибудь в защите от всех этих ..... (много мата). Спасибо  за внимание!

P.S прикладываю скрин работы Rakhini