Помогите в расшифровке EnCiPhErEd [Trojan-Ransom.Win32.Xorist.ln
]
Доброго дня!
Проблема такая же как и в http://virusinfo.info/showthread.php?t=191285
словили шифровальщик, все файлы имеют вид "имя".doc/xls/etc.EnCiPhErEd
в каждом каталоге лежит текстовый фаил с содержанием:
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
ЧТОБЫ РАСШИФРОВАТЬ ИХ
НАПИШИТЕ НАМ НА [email protected]
В СООБЩЕНИИ УКАЖИТЕ IP АДРЕСС КОМПЬЮТЕРА
НА КОТОРОМ БЫЛИ ЗАШИФРОВАНЫ ФАЙЛЫ
ЕГО ВЫ СМОЖЕТЕ УЗНАТЬ НА 2ip.ru
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 24 ЧАСОВ
НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ФАЙЛЫ
САМОСТОЯТЕЛЬНО ИЛИ С ПОМОЩЬЮ
АНТИВИРУСНЫХ УТИЛИТ
ЭТИМИ ДЕЙСТВИЯМИ ВЫ ТОЛЬКО
БЕЗВОЗВРАТНО ПОВРЕДИТЕ ФАЙЛЫ
РАСШИФРОВАТЬ МОЖЕМ ТОЛЬКО МЫ !!!
к зараженой машине затруднен доступ про логине выдается ошибка "неполадка помешала windows проверить лицензию компьютера. Код ошибки 0x8007002"
Проверку удалось провести с безопасного режима
Прошу помочь с расшифровкой!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) brudstas, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Занятно У Вас как раз отработал полный комплект шифровальщика и заработали двойное шифрование
Несколько зашифрованных файлов с расширением .EnCiPhErEd.d (картинки, документы Office) выложите одним архивом на rghost.ru (Яндекс-диск) и пришлите ссылку
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\Q7j6340S490B59E.exe','');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\Q7j6340S490B59E.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Всё отлично! Расшифровалось 99% файлов. Проблемы только с DBF таблицами, правда они есть в бэкапах в zip-формате (которые тоже зашифрованы, но расшифровались на отлично).
Спасибо огромное Вам лично и проэкту в целом!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: