Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT , Filecoder.FONIX

по расширению: .repter нет расшифровки.
https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html
---------

update:
по FONIX/RYK известны следующие почты:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме от Эмсисофт:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.

update4:
стала возможна расшифровка раннего варианта FONIX/Phobos/eking

Добрый день! Подскажите, работает ли сейчас тех поддержка есет? Хочу отправить зашифрованные файлы. Шифровальщик Trojan.Encoder.10700 (#Ryuk #Hermes). Может есть уже дешифратор.  

В первую очередь:
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.

+
Если есть доступ к зашифрованному устройству, сделайте дополнительно лог ESETLogCollector
+

по ссылке https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­­lector.exe не могу скачать, не найдена страница (404)

по этой пробуйте
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

так же высылаю файлы логов

Хорошо, логи посмотрю, добавьте так же это.

Судя по логу ELC есть задачи с RYUK

по логу ESVC:

Возможно шифровальщик еще активен в системе, или может запуститься через задачи.

обратите внимание, что сейчас в системе у вас два установленных антивируса. Защиту одного из них можно отключить, чтобы не было конфликта.

файл шифровальщика есть в процессах:
ryuk.exe, 9112, SARABI\Администратор, , , , "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe"

sep=,
Image name,PID,Session name,Session ID,Memory usage,Status,User name,CPU time,Window title
ryuk.exe,9112,Console,1,20 944 K,Running,SARABI\Администратор,0:01:53,C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe

по логу ESVC:
журналы к сожалению очищены самостоятельно, или злоумышленниками, антивирусы похоже установлены уже после атаки шифрования:
sep=,
Datetime,Source,Event description
13.06.2023 09:08:21.029,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:21.000,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.974,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.972,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.943,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.914,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.600,Windows Event Log,"Log """" was cleared by \."
12.06.2023 23:50:15.682,Non-MS Apps,"Application ""Dr.Web Anti-virus for Windows Servers"" was installed."


----------
Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.
-----------

ранее я высылал два архива, высылаю повторно