Шифровальщик *.crypt

[grieve]

Доброго времени суток! 

Windows не обновлялась, антивирусное ПО устарело, подозреваю, что зашли на почту с сервера и запустили вирус, вследствие чего все файлы зашифрованы, в частности база 1с.

Файлы имеют вид - *.crypt

 

Текст оставленной информации:

All your files have been encrypted due to a security problem with your PC.

If you want to restore them, write us to the e-mail:zuzya_next@aol.com

Additional Mailing Address e-mail:zuzyacrypt@india.com 

 

Malwarebytes распознала как Ransom.Filecoder.

 

Воспользоваться RannohDecryptor не получилось, т.к. зашифрованный файл отличается размером от оригинала.

 

Очень надеюсь на вашу помощь в расшифровке, бухгалтер плачет. 

CollectionLog-2017.06.30-13.17.zip

[thyrex]

Содержимое папки C:\Windows\vpnplugins\servicing Вам известно?

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[grieve]

Содержимое папки C:\Windows\vpnplugins\servicing Вам известно?

 

 

Содержимое неизвестно. Было создано во время активности шифровальщика, я так понимаю, что имеет отношение к вирусу. Malwarebytes и KVRT на него никак не отреагировали. Благодарен за помощь.

result.zip

[thyrex]

Увы, это GlobeImposter2, для которого расшифровки нет.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
IFEO\sethc.exe: [Debugger] C:\Windows\vpnplugins\servicing\ibhost.exe
2017-06-27 18:26 - 2017-06-27 18:26 - 00003982 _____ C:\Program Files\how_to_back_files.html
2017-06-27 18:24 - 2017-06-27 18:24 - 00003982 _____ C:\Users\Default\how_to_back_files.html
2017-06-27 18:24 - 2017-06-27 18:24 - 00003982 _____ C:\Users\Acronis Agent User\how_to_back_files.html
2017-06-27 18:24 - 2017-06-27 18:24 - 00003982 _____ C:\Program Files (x86)\how_to_back_files.html
2017-06-27 18:23 - 2017-06-27 18:23 - 00003982 _____ C:\Users\k1\how_to_back_files.html
2017-06-27 18:23 - 2017-06-27 18:23 - 00003982 _____ C:\Users\k1\Downloads\how_to_back_files.html
2017-06-27 18:23 - 2017-06-27 18:23 - 00003982 _____ C:\Users\k1\Documents\how_to_back_files.html
2017-06-27 18:23 - 2017-06-27 18:23 - 00003982 _____ C:\Users\k1\Desktop\how_to_back_files.html
2017-06-27 18:22 - 2017-06-27 18:22 - 00003982 _____ C:\Users\k2\how_to_back_files.html
2017-06-27 18:22 - 2017-06-27 18:22 - 00003982 _____ C:\Users\k2\Downloads\how_to_back_files.html
2017-06-27 18:22 - 2017-06-27 18:22 - 00003982 _____ C:\Users\k2\Documents\how_to_back_files.html
2017-06-27 18:22 - 2017-06-27 18:22 - 00003982 _____ C:\Users\k2\Desktop\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\root\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\root\Downloads\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\root\Documents\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\root\Desktop\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Public\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Public\Desktop\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Mac\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Mac\Downloads\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Mac\Documents\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\Mac\Desktop\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k5\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k5\Downloads\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k5\Documents\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k5\Desktop\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k4\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k4\Downloads\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k4\Documents\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k4\Desktop\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k3\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k3\Downloads\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k3\Documents\how_to_back_files.html
2017-06-27 18:20 - 2017-06-27 18:20 - 00003982 _____ C:\Users\k3\Desktop\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\Users\Администратор\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\Users\Администратор\Downloads\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\Users\Администратор\Documents\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\Users\Администратор\Desktop\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\Users\how_to_back_files.html
2017-06-27 18:19 - 2017-06-27 18:19 - 00003982 _____ C:\ProgramData\how_to_back_files.html
2017-06-27 17:47 - 2017-06-27 17:47 - 00000000 ____D C:\Windows\vpnplugins

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[grieve]

Спасибо, не могу выполнить Ваши рекомендации в данный момент, выполню позже. Но возник вопрос, может Вы знаете, как часто люди получают дешифратор после оплаты? Понимаю, что лучше этого не делать, но если других способов не остается...

[thyrex]

может Вы знаете, как часто люди получают дешифратор после оплаты?

все зависит от порядочности вымогателей. Конкретно по данному у меня нет вообще никакой информации.

[grieve]

Еще раз спасибо. Заплатил выкуп, получил дешифратор. Компьютер пролечил и установил свежий Kaspersky Endpoint Security. 

[elusive]

Еще раз спасибо. Заплатил выкуп, получил дешифратор. Компьютер пролечил и установил свежий Kaspersky Endpoint Security. 

Поделись пожалуйста дешифратором. У меня сервер лег, организация маленькая, денег никто не даст((( скорее меня порвут. 

[piston344]

 

Еще раз спасибо. Заплатил выкуп, получил дешифратор. Компьютер пролечил и установил свежий Kaspersky Endpoint Security. 

Поделись пожалуйста дешифратором. У меня сервер лег, организация маленькая, денег никто не даст((( скорее меня

 

Добрый день. Присоединяюсь, такая же беда

[thyrex]

@elusive,@piston344, ключ шифрования уникальный для каждого компьютера и потому чужой ключ вам не поможет.