Файлы зашифрованы jfg8fgfgj34yhfgdfj.fgfgy43ydfidfh.uy347ffyfg [Trojan-Ransom.Win32.Xorist.ln]

**osterik** · 20.12.2015, 18:49

Добрый вечер!
Поймали шифровальщик.
name.ext.jfg8fgfgj34yhfgdfj.fgfgy43ydfidfh.uy347ffyfg
первые 46 байт файла не шифрованы

похож на тот, что упомянут в заявке 193814, некоторые симптомы схожи с заявкой 191285 (ошибка "неполадка помешала windows проверить лицензию компьютера. Код ошибки 0x8007002" при входе, загружается только в безопасном режиме)
оставил файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ДЛЯ ИХ РАСШИФРОВКИ
ПРОЧТИТЕ ИНСТРУКЦИЮ
ПО ССЫЛКЕ: https://goo.gl/kvLpNW

Скрыть

windows 2003 rus 32бит

образец зашифрованного файла
https://yadi.sk/d/7iS98u5EmMVLz

"Kaspersky Virus Removal Tool" нашел в темпах файл, который определил как
Trojan-Ransom.Win32.Xorist.ln
Файл: C:\Documents and Settings\els\Local Settings\Temp\5\67Sc8cwi9p440ox.exe
Троянская программа
MD5: 62CA13C6026BB7D50A31EBB6745334AB
SHA256: 73813F0C2C34B55671FEFB808CB761C0595873C22D990D7E25 5224FBD53127A4

сейчас разберусь как пополнить счет на paypal, оплачу платную услугу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.12.2015, 18:51

Уважаемый(ая) osterik, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**osterik** · 20.12.2015, 19:51

отчеты Farbar Recovery Scan Tool

- - - - -Добавлено - - - - -
[]
предположительно шифровальщик

**thyrex** · 20.12.2015, 20:57

Сообщение от osterik

C:\Documents and Settings\els\Local Settings\Temp\5\67Sc8cwi9p440ox.exe

Обождите с оплатой. Этот файл нужен. Возможно, он есть в карантине в папке С:\KVRT

**osterik** · 20.12.2015, 22:20

вот он: [удалено]

Trojan-Ransom.Win32.Xorist.ln
Файл: C:\Documents and Settings\els\Local Settings\Temp\5\67Sc8cwi9p440ox.exe
Троянская программа
MD5: 62CA13C6026BB7D50A31EBB6745334AB
SHA256: 73813F0C2C34B55671FEFB808CB761C0595873C22D990D7E25 5224FBD53127A4

**thyrex** · 20.12.2015, 23:00

Ужас, это тройной Xorist. Нужна еще тушка средней части

**osterik** · 20.12.2015, 23:11

а можете подсказать - что где как искать?
есть бэкап всего сервера, могу поднять в виртуалке

**thyrex** · 20.12.2015, 23:24

По логам сервера посмотреть можно, что запускалось?

Первым появился j88h5vPXXYSfIK7.exe в 22.35 4 декабря
Последним - 67Sc8cwi9p440ox.exe в 22.38 4 декабря

Серединку бы найти или тот файл, из которого выплыла вся эта троица

**osterik** · 20.12.2015, 23:40

ок, понял, сейчас ручками посмотрю, что подозрительного еще есть

- - - - -Добавлено - - - - -

https://yadi.sk/d/QWiZeiS2mMqGV

- - - - -Добавлено - - - - -

там было два файла с одинаковым размером, я ошибочно решил что это одинаковые файлы. сейчас проверил - файлы разные
закинул все три

**thyrex** · 21.12.2015, 00:21

Проверяйте ЛС

Еще раз прошу: выполняйте инструкцию в точности, как написано

**osterik** · 25.12.2015, 11:17

спасибо большое, всё получилось!

Файлы зашифрованы jfg8fgfgj34yhfgdfj.fgfgy43ydfidfh.uy347ffyfg [Trojan-Ransom.Win32.Xorist.ln] (заявка № 194751)

Опции темы