Перейти к содержанию

[РАСШИФРОВАНО] Шифровальщик Trojan.Encoder.32210 (.XINOF - #Fonix)

Atuan
 Share Подписчики 0

Рекомендуемые сообщения

Atuan

Atuan 0

Опубликовано
Опубликовано

Добрый день,появилась ли возможность расшифровать файлы зашифрованные Trojan.Encoder.32210 (.XINOF - #Fonix)? Очень нужна помощь по восстановлению данных.

Архив.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] seth.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2020-12-12] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\Kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HP.lnk [2018-02-08]
ShortcutTarget: HP.lnk -> C:\ProgramData\WindowsTask\csrss.vbs (No File)
Startup: C:\Users\Larisa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2020-12-12] (Microsoft Corporation) <==== ATTENTION
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2020-12-12] (Microsoft Corporation) <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
C:\Users\Larisa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты
Atuan

Atuan 0

Опубликовано
  • Автор
Опубликовано

Итак наконец то закончилась двухнедельная эпопея со взломом нашего сервера с помощью вируса шифровальщика XINOF. название вируса указано в заголовке. Отдельная благодарность пользователю regist и всему коллективу лаборатории Касперского. Рассказываю для всех тех кто попадется также как и мы.

Две недели назад наш сервер взломали и зашифровали с помощью вируса,при входе в любую учетку происходила архивация данных,а вместо рабочего стола вылазило окошко с уведомлением о том, что сервер взломали и за разъяснениями надо обращаться на почту decryptioner@uncryptfile.com. На сам рабочий стол удалось попасть в ходе некоторых манипуляций,оказалось под этим окошком было еще одно окошко в котором надо было нажать кнопочку ок и рабочий стол проявился. Естественно был начат поиск решений данной проблемы,перепробована куча способов и написан первый пост в данной теме на форуме (к слову dr web сразу отказались помочь т.к сказали что это невозможно). В ходе длительной переписки (если попросите скину скрины) на английском дело продвигалось так,сначала они запросили 1300 долларов,переведенных в биткоин, за расшифровку, на что я им ответил,что они сошли с ума так как по нашему курсу это больше 100к рублей, на что они любезно согласились сделать мне скидку как русскому человеку до 800 долларов, тогда я стал умолять их проявить сострадание,давить на совесть и.т.д., итог, в ходе торгов цена достигла 500 долларов. Самое интересное что в переписке они называли себя не иначе как компания предоставляющая услуги по дешифровке данных,а когда я завуалированно назвал их хакерами они оскорбились. В общем и целом было принято решение заплатить эти 500 долларов. сегодня в 20.00 по времени Москвы был совершен перевод через обменник биткоинов в размере 37000 рублей в валюту BTC на кошелек который они мне прислали в переписке. Я решил напоследок на всякий случай зайти на этот форум,проверить может кто нибудь что нибудь полезное написал. И увидел пост пользователя REGIST в моей теме про утилиту дешифровки RakhiniDescryptor, решил еще раз попробовать. А надо сказать, что в ходе поисков на сторонних ресурсах я находил упоминание этой утилиты и даже скачивал ее,но она мне не помогла никак. Название той утилиты было rectordecryptor с логотипом Касперского. Запускаю Rakhini скачанный с сайта Касперского и ВДРУГ о ЧУДО,файлы начинают расшифровываться!!!!!!! Я тут же бросился на обменник на котором переводил деньги и,хотя прошел уже час с момента транзакции они вошли в мое положение и смогли отменить перевод, правда сказали что есть небольшая потеря за комиссии в размере 2700 рублей,но это абсолютно мелочь (обменник валют на котором я делал перевод bchange.cc)В любом случае огромная им благодарность как и всем кто помогал мне с решением данной проблемы. Надеюсь моя история поможет хоть кому нибудь в защите от всех этих ..... (много мата). Спасибо  за внимание!

P.S прикладываю скрин работы Rakhini

Скриншот 05-02-2021 22_22_23.jpg

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] Шифровальщик Trojan.Encoder.32210 (.XINOF - #Fonix)

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Aristan
      Зашифрованы файлы Ryuk
      От Aristan
      Всем доброго времени суток. Этот же вирус словил и я. Вирус прошел мимо антивируса и удалил его, удалил теневые копии и точки восстановления виндовс. Откатить не удалось. зашифровал базы SQL, переименования файла не помогло (хотя лет пять назад это срабатывало). Я уже отправил через кабинет в техподдержку файлы, пока ответа нет.
       
      Сообщение от модератора kmscom Сообщения перенесены из темы Зашифрованы файлы Ryuk  
    • Filereopening
      Ryuk
      От Filereopening
      Привет, наш сервер был атакован этим вымогателем, пожалуйста, помогите
      hrmlog1.zip 284.pdf.[Datablack0068@gmail.com].[C6B0931E].zip
    • rsharipov
      Зашифрованы файлы Ryuk
      От rsharipov
      Здравствуйте!
      В субботу (10.06.2023) ночью произошло несчастье, компьютер поразил вирус Ryuk.
      Сегодня в ночи мне удалось при помощи Kaspersky Rescue Disk 18 создать загрузочную флешку, и в режиме включения совместимости таки загрузиться и пролечить ПК.
      Благо была вторая УЗ администратора и я смог через нее восстановить пароль к основной УЗ, т.к. вирус пароль тоже зачистил.
      После это я путем обновления с загрузочной флешки мне удалось восстановить нормальную работоспособность ОС.
      Далее я попробовал к зашифрованным файлам применить Утилиту Kaspersky RakhniDecryptor, однако ни один файл не был расшифрован.
      В архиве (под паролем), предлагаю отправить в ЛС, приложены примеры зашифрованных файлов и файлы с информацией.
      Прошу оказать вас помощь в решении вопроса.
      Заранее благодарю!
      Files.rar
    • totkot
      Зашифрованы файлы с расширением .RYK
      От totkot
      Добрый день.
      Рабочий компьютер у друга в магазине. Произошло заражение. Все файлы были зашифрованы с расширением [Datablack0068@gmail.com].[4E701FD6].RYK
      Все архивы уничтожены. Операционную систему не переустанавливал. Пролечил диском KRD.
       
      FRST.zip Зашифрованные.ZIP КопииИзАрхива.ZIP Требования.ZIP
    • scourgezx
      Шифровальщик Ryuk
      От scourgezx
      Добрый день. 23 февраля (возможно раньше) поймали вирус шифровальщик, представившийся как "ryuk". Пострадали не сильно, но некоторые файлы хотелось бы восстановить, если есть такая возможность. 
      Выяснить, как шифровальщик залез в систему пока не удалось.
      Логи FRST.rar Зашифрованный документ.rar
×
×
  • Создать...