Прошу помощи с расшифровкой файлов. Подозрение на Trojan-Ransom.Win32.Xorist.ln

[MAPTOKOT]

Здравствуйте!
Прошу помощи с расшифровкой файлов. По папкам текстовый файл следующего содержания:

Внимание!
Все Ваши файлы зашифрованы!
Для расшифровки файлов необходимо написать на email: [email protected]
В письме вам необходимо написать ваш id (ID 7291
Стоимость расшифровки 12500 руб., спешите! Скоро цена будет больше!

Где был/что открывал пользователь не признаются. Присутствуют файлы как с оригинальными именами, так и они же с добавленным расширением вида .id72918, содержимое с виду одинаковое. По крайней мере не открываются ни первые, ни вторые. Насколько аккуратные/адекватные руки побывали до меня - не знаю. По крайней мере заметны следы декрипторов Касперского (и XoristDecryptor, и RectorDecryptor).
Автологгер запускался с физически отключенной сетью.

[Info_bot]

Уважаемый(ая) MAPTOKOT, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Образцы зашифрованных файлов с измененным расширением выложите на обменник без капчи и времени ожидания и пришлите ссылку

[MAPTOKOT]

https://drive.google.com/open?id=0B9...ndzbHVQRDRaajQ

Кстати, файлы с оригинальным и измененным расширением все-таки одинаковы. Подозреваю, что результат работы RectorDecryptor...

[thyrex]

Кстати, файлы с оригинальным и измененным расширением все-таки одинаковы

Скорее результат очумелых ручек того, кто пытался открыть файл, просто убрав расширение. Чтобы убедить меня в неправоте, найдите на системном диске логи работы RectorDecryptor? заархивируйте и прикрепите к сообщению.

[MAPTOKOT]

Возможно очумелые ручки пользовали и что-то еще. Но, что интересно, дубликаты присутствуют только для "офисных" форматов (*.pdf, *.doc?, *.xls?), а, к примеру, для *.dbf или *.lnk - отсутствуют. А вот выдержки из лога:

23:00:19.0792 0x0b5c Found suspicious file: \\?\C:\Users\user10\AppData\Local\VirtualStore\Pro gram Files (x86)\Java\jre1.8.0_121\lib\deploy\ffjcext.zip.id7 2918
23:00:19.0792 0x0b5c Not crypted
23:00:19.0792 0x0b5c Found suspicious file: \\?\C:\Users\user10\AppData\Local\VirtualStore\Pro gram Files (x86)\Java\jre1.8.0_121\lib\deploy\splash.gif.id72 918
23:00:19.0808 0x0b5c Warning! File \\?\C:\Users\user10\AppData\Local\VirtualStore\Pro gram Files (x86)\Java\jre1.8.0_121\lib\deploy\splash.gif.id72 918 has unsupported format for key check.
23:00:19.0808 0x0b5c This file is not recognized as Trojan-Ransom.Win32.Rector, file path: \\?\C:\Users\user10\AppData\Local\VirtualStore\Pro gram Files (x86)\Java\jre1.8.0_121\lib\deploy\splash.gif.id72 918

Соответственно для ffjcext.zip.id72918 есть дубликат в виде ffjcext.zip, а вот для гифки дубликата нет

[thyrex]

Я просил прикрепить отчеты в архиве, а не выдержки из них

[MAPTOKOT]

Простите, Вам охота тратить время на ковыряние в логе на 20+ Мб? В любом случае не считаю (не уполномочен) это общедоступной информацией Так что, если желаете, только в ЛС...

З.Ы. Предлагаю закрыть тему дубликатов, приняв во внимание возможное влияние "очумелых ручек", и потереть последние четыре сообщения в теме...

[thyrex]

Можете в ЛС присылать

[thyrex]

Проверьте ЛС

[MAPTOKOT]

Огромное человеческое спасибо! Расшифровано!