• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Файлы зашифрованы Trojan-Ransom.Win32.Xorist.ln

Статус
В этой теме нельзя размещать новые ответы.

Vladimir21

Пользователь
Сообщения
32
Реакции
1
Баллы
18
Прошу помощи!
Все данные зашифрованы Xorist.ln
К каждому файлу добавлено расширение: 10936
Зашифрованы все файлы, включая базы 1С, текстовые, таблицы, изображения. Сегодня воскресение, завтра люди придут и не откроют ни одного своего документа! Очень прошу помочь!
Прилагаю файл автологгера
 

Вложения

Vladimir21

Пользователь
Сообщения
32
Реакции
1
Баллы
18
Ребята, отзовитесь, пожалуйста, кто-нибудь!
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
RMS - Remote Manipulator System сами устанавливали для удаленного доступа?

Образец зашифрованного doc или docx файла пришлите
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Начинаю брутфорс ключа
 

Vladimir21

Пользователь
Сообщения
32
Реакции
1
Баллы
18
Хорошо. Насколько долгая процедура?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Долгая. Пока идет поиск возможных ключей, а потом будет идти их перебор. Основное время уйдет на поиск
 

Vladimir21

Пользователь
Сообщения
32
Реакции
1
Баллы
18
А какова вероятность нахождения?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Должна быть 100% :)

Если у Вас есть оригинал незашифрованный этого файла, это может ускорить процесс
 

Vladimir21

Пользователь
Сообщения
32
Реакции
1
Баллы
18
Оригинала этого файла нет, но я сейчас покопаюсь, может найду такую пару файлов
Вот нашел
только это txt. Пойдет?
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Я думаю, что да
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Пока у меня плохие новости. Или попали на модифицированную версию, или этот txt-файл был зашифрован в несколько проходов.
Пока продолжаю работать с первым файлом.

Судя по детекту, вирус был обнаружен антивирусом от Лаборатории Касперского. Файл сохранился в карантине антивируса?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Нужно восстановить из карантина, заархивировать с паролем virus, выложить на www.sendspace.com и прислать ссылку
 

Vladimir21

Пользователь
Сообщения
32
Реакции
1
Баллы
18
касперский был выгружен на момент обнаружения заражения. Я прогнал Kaspersky Virus Removal Tool 2015 и все что он нашел отправл в карантин. Там есть файл 10936.exe
Если нужен могу скинуть
как найти карантин?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Высылайте файл 10936.exe, заархивировав его
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
Проверьте ЛС.

Удачной расшифровки. Я спать
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу