Решена с расшифровкой. Trojan-Ransom.Win32.Xorist

[l9396]

Всем привет.
Словил Trojan-Ransom.Win32.Xorist
Он зашифровал 6 дисков. Что у меня на душе, думаю, вы понимаете.
Пробовал и утилиты касперского и ничего не помогает.
Помогите пожалуйста, это крик о помощи.
Оригинальный файл вируса удален в панике.

 

[thyrex]

Пример зашифрованного doc, xls, docx, xlsx файла прикрепите в архиве к сообщению

 

[l9396]

Сейчас поищу такие файлы, но не уверен, что найду, т.к. офисом очень давно не пользовался. Есть .torrent зашифрованные файлы, которые вряд ли менялись на трекере.
Ну и плюсом забыл написать, что на диски не войти, предлагает отформатировать. Т.е. живой только диск C.
Есть от Apache текстовые документы точно, которые в дистрибутиве.

 

[l9396]

Вообщем прошелся абсолютно по всем папкам, нету офисных файлов. Зашифрованы преимущественно только .txt, музыкальные и видео файлы.

 

[thyrex]

Ну тогда Вам придется искать оригиналы этих зашифрованных файлов такого же размера. Без пары шифрованный-нешифрованный размером не менее 1 килобайта не обойтись

 

[l9396]

Сегодня-завтра выложу.

 

[l9396]

Прикрепляю парные файлы. От различного софта с разных ПК, с одинаковым размером. От апаче не получилось найти. Пришлось пользоваться программами восстановления данных, чтобы вытащить хоть что-то, поэтому пропал.

 

[thyrex]

Для расшифровки воспользуйтесь Xorist decryptor

В папку с дешифратором поместите ключ DropMeFiles – free one-click file sharing service, после чего запустите дешифратор.

Сообщите результат расшифровки.

 

[l9396]

Спасибо большое! На диске C расшифровывает. Но на нем ничего важного нет.
Как быть с остальными дисками если такая картина? Хитро они это сделали.

 

[thyrex]

Xorist не портит структуру дисков. Либо поработал еще какой-либо шифратор либо проблема системная

 

[l9396]

Это вместе с ним произошло 100%.
Выходит теперь только программами восстановления, а потом расшифровывать?

 

[l9396]

File could not be decrypted properly. Skipping ...
задаешь букву диска в EMSISOFT, а он все-равно сканирует C и только потом переходит на соседний.
Видео, фото не расшифровывает, судя по всему только текстовые.

 

[thyrex]

Пришлите пример не расшифровавшихся файлов (выложите на обменник и пришлите ссылку на скачивание)

 

[l9396]

Тут дело такое, что на диске С видео файлы он все же расшифровал, там галка стояла хранить зашифрованные. Но остальное попробовал это восстановленные зашифрованные файлы с дисков RAW, видимо поэтому не может расшифровать. Даже если какие-то расшифровывает, то файл не воспроизводится.
Попробовать через convert в винде или вообще убьет данные? В SSD вообще все ячейки пустые.

 

[thyrex]

Поскольку неизвестно, что случилось с дисками, может быть все, что угодно. Вообще, Вы даже тему изначально создали не в том разделе. Теперь ее перенесли, поэтому выполните правила раздела.

 

[l9396]

Это произошло все одновременно. Компьютер был включен, ушел из дома на пару часов. Прихожу, а музыка с сетевого ПК не открывается, далее подключаюсь на проблемный ПК, не получается. Включаю монитор, пароль не подходит, вхожу под второй учеткой и диски уже в таком виде. Смотрю диспетчер задач и там тот самый вирус. Снимаю, удаляю в панике. А тему можно перенести. Вопрос, что сейчас лучше всего сделать. Как поступить с дисками. Это несколько штук по 12-16 терабайт. На С ничего важного нет. Поэтому не мог долго ничего скинуть.

 

[thyrex]

Тема уже перенесена. Повторяю еще раз - выполните правила раздела

 

[l9396]

@thyrex, Огромное спасибо! В общем, всё расшифровывается. R-Studio "коряво" восстанавливала файлы, поэтому они не расшифровывались. Пока что процессы идут с помощью EaseUS, что-то восстанавливается, что-то нет. С SSD правда ничего не получается восстановить, ячейки все пустые, видимо это поведение TRIM.