Шифровальщик crypted000007 - помогите с расшифровкой

[st.ranger 0]

Получили электронное письмо с вложением, после запуска которого зашифровались документы на компьютере.

На рабочем столе появились файлы README1.txt, README2.txt и т.п.

 

Зашифрованные файлы имеют расширение .7792516432E64C92CCC5.crypted000007

 

Содержимое файлов README следующее:

Bашu фaйлы были зашuфрoвaны.

Чmобы pасшифpoваmь иx, Baм необxодuмo omnрaвить kод:

7792516432E64C92CCC5|0

нa электpoнный адрec Novikov.Vavila@gmail.com .

Далее вы пoлучuте вcе нeoбходимыe инстрyкциu.

Пonыmки pacшuфрoваmь caмосmояmельно не пpиведyт нu k чемy, kромe безвозвраmнoй поmерu информaциu.

Еcли вы вcё жe хomитe попыmamьcя, mo npeдвaритeльно cдeлaйme резepвныe kопиu фaйлoв, иначe в слyчae

иx изменeнuя paсшuфpoвkа cтанem невозмoжной нu nрu кakux уcловияx.

Если вы нe nолучuлu оmвета пo вышeуkaзaнномy адрecу в meчeнue 48 чаcов (и moлько в эmом слyчaе!),

восnользyйmecь формой обpaтной cвязи. Этo можнo сделamь двyмя сnосoбaмu:

1) Сkачайme u ycтaнoвumе Tor Browser nо cсылkе: https://www.torproject.org/download/download-easy.html.en

B aдрeснoй cтpokе Tor Browser-а ввeдume адрec:

http://cryptsen7fo43rr6.onion/

u нажмumе Enter. 3arpузuтcя cтpаницa с фoрмoй обpаmной связи.

2) В любом бpaузерe nepeйдuте по однoму uз адрeсoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Журнал работы AutoLogger прикрепляю

CollectionLog-2017.07.24-14.23.zip

Изменено 24 июля, 2017 пользователем st.ranger

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\PROGRA~2\SysWOW64\7Dsk7iw.cmd','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[st.ranger 0]

Ответ из лаборатории:

KLAN-6578092258

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
7Dsk7iw.cmd
bcqr00001.dat
bcqr00002.dat

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan.Win32.Diple.gvlo

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=56515

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
    
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

 

Новые логи Autologger прикладываю

CollectionLog-2017.07.26-11.36.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[st.ranger 0]

Добрый день!

Архив с журналами FRST прикладываю.

FRST.zip

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-4257001298-320341415-2988960421-1001\...\Run: [Command Line Support] => cmd.exe /C C:\PROGRA~2\SysWOW64\7Dsk7iw.cmd
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
2017-07-24 12:21 - 2017-07-24 16:55 - 00262144 ___SH C:\Users\Ольга\Desktop\Thumbs.db
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README9.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README8.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README7.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README6.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README5.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README4.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README3.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README2.txt
2017-07-22 15:02 - 2017-07-22 15:02 - 00004154 _____ C:\Users\Ольга\Desktop\README10.txt
2017-07-22 08:01 - 2017-07-24 12:47 - 00000000 __SHD C:\Users\Все пользователи\SysWOW64
2017-07-22 08:01 - 2017-07-24 12:47 - 00000000 __SHD C:\ProgramData\SysWOW64
2017-07-20 12:44 - 2017-07-20 13:24 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-07-20 12:44 - 2017-07-20 13:24 - 00000000 __SHD C:\ProgramData\System32
2017-07-20 12:34 - 2017-07-26 10:40 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-07-20 12:34 - 2017-07-26 10:40 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[st.ranger 0]

Добрый день!

 

Сделано. fixlog.txt прикладываю.

Fixlog.txt

[thyrex 1 468]

Мусор почистили.

 

С расшифровкой помочь не сможем.