Перейти к содержанию

.crypted вирус, Зашифровал все куда руки дотянулись

makdmin
 Share Подписчики 1

Рекомендуемые сообщения

makdmin

makdmin 0

Опубликовано
Опубликовано

Каким то образом на компьютер попал этот неизветный вирус и поразил все куда у него дотянулись руки. Весь компьютер и все куда был доступ по сети.

Резервные копии спасли сетевые папки. Люди Делайте резервные Копии!

А вот сам комп не в какую не поддается расшифровке. Перепробывал от Касперского CoinVaultDecryptor, rakhnidecryptor, rannohdecryptor, rectordecryptor, ScatterDecryptor, ScraperDecryptor, shadedecryptor, WildfireDecryptor, xoristdecryptor, результата никакого.

Все что было на компьютере включая jpg. doc, xls, exe txt и т.п., прописалось окончание .crypted

Перед проверкой Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!, провел испытания. Установил флешку с данными и отправил в перезагрузку, после перезагрузки данные на флешки шифровались в режиме реального времени. Так я  нашел его через диспетчер задач сам процесс, назывался он как IntelTheasurusService.exe и находился по пути C:\Users\user\AppData\Roaming\IntelTheasurusService.exe

Буду рад кто чем сможет помочь в расшифровке данных.

CollectionLog-2018.03.28-09.27.zip

post-49390-0-97314800-1522218347_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AutoConfigURL: [HKLM] => hxxps://larevante.com/yM8L3t2/JUyA1.eup
ManualProxies: 0hxxps://larevante.com/yM8L3t2/JUyA1.eup
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gojnmemgacliifihcagijaadgpeioooa] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2638093686-222881537-2617412787-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2638093686-222881537-2617412787-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\Public\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\dir\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\dir\Downloads\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\dir\Documents\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\dir\Desktop\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\dir\AppData\Local\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Users\Default\how_to_back_files.html
2018-03-25 04:58 - 2018-03-25 04:58 - 000005475 _____ C:\Program Files\how_to_back_files.html
2018-03-25 04:54 - 2018-03-25 04:54 - 000005475 _____ C:\Users\user\AppData\Local\how_to_back_files.html
2018-03-25 04:49 - 2018-03-25 04:49 - 000005475 _____ C:\Users\user\AppData\Roaming\how_to_back_files.html
2018-03-25 01:08 - 2018-03-25 01:08 - 000005475 _____ C:\Users\user\Desktop\how_to_back_files.html
2018-03-25 00:35 - 2018-03-25 00:35 - 000005475 _____ C:\Users\user\Documents\how_to_back_files.html
2018-03-25 00:33 - 2018-03-25 00:33 - 000005475 _____ C:\Users\user\Downloads\how_to_back_files.html
2018-03-25 00:28 - 2018-03-25 00:28 - 000005475 _____ C:\Users\Администратор\how_to_back_files.html
2018-03-25 00:28 - 2018-03-25 00:28 - 000005475 _____ C:\Users\Администратор\Downloads\how_to_back_files.html
2018-03-25 00:28 - 2018-03-25 00:28 - 000005475 _____ C:\Users\Администратор\Documents\how_to_back_files.html
2018-03-25 00:28 - 2018-03-25 00:28 - 000005475 _____ C:\Users\Администратор\Desktop\how_to_back_files.html
2018-03-25 00:28 - 2018-03-25 00:28 - 000005475 _____ C:\Users\Администратор\AppData\Local\how_to_back_files.html
2018-03-25 00:28 - 2018-03-25 00:28 - 000005475 _____ C:\Users\user\how_to_back_files.html
2018-03-25 00:19 - 2018-03-25 00:19 - 000005475 _____ C:\Users\Все пользователи\how_to_back_files.html
2018-03-25 00:19 - 2018-03-25 00:19 - 000005475 _____ C:\Users\how_to_back_files.html
2018-03-25 00:19 - 2018-03-25 00:19 - 000005475 _____ C:\ProgramData\how_to_back_files.html
Task: {0B81BC7D-A349-4BE4-91A1-1D3CA20074B9} - System32\Tasks\Digital Sites => C:\Users\user\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {2F33EE15-D7DB-455B-B0A5-ACC4DA91C48B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {DE339851-DC5A-4039-8E6E-C6C3BDB459EA} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\user\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты
bourne333

bourne333 0

Опубликовано
Опубликовано (изменено)

Добрый вечер,

аналогичная проблема.

Выслал вымогателю пару файлов и они прислали расшифрованные.

Требуют кучу денег :(

Есть ли надежда на расшифровку самостоятельную ?

Спасибо

Изменено пользователем bourne333
Ссылка на сообщение
Поделиться на другие сайты
bourne333

bourne333 0

Опубликовано
Опубликовано

Понял,

а есть название вируса, ето что-то новое?

И может подскажите чем каким алгоритмом шифрует?

Есть три файла например , оригинальный, зашифрованый на одном диске и на другом. Оба зашифрованых отличаются, что печально.

Также вирус судя по всему убивает первые 5 мб через каждые 8кб.

Ссылка на сообщение
Поделиться на другие сайты
bourne333

bourne333 0

Опубликовано
Опубликовано

Может ли как то помочь с поиском ключа наличие полностью нулевых зашифрованых блоков ?

Тоесть возможно ли восстановить ключь с нулевых зашифрованых блоков.

Думаю маловероятно но все же.

Спасибо за помощь

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • aronone
      NET.MALWARE.URL не удаляется, просьба помочь удалить
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

×
×
  • Создать...