Зашифровали ПК .crab

[asdxxz23]

Открыли доступ через RDP на один из офисных пк и через несколько дней при включении высветилась надпись типа-"ваши файлы зашифрованы, напишите мне" там же были несколько имэйлов, мне подсказали что можно к вам обратиться.

CollectionLog-2018.11.07-16.54.zip

Изменено 7 ноября, 2018 пользователем asdxxz23

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Fonts\corss.exe','');
 DeleteFile('C:\Windows\Fonts\corss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[asdxxz23]

Результат загрузки

Файл сохранён как 181107_151506_quarantine_5be3017a8ba1d.zip

Размер файла 50711

MD5 7202128e3be0d3c455c3219c57d459cf

Файл закачан, спасибо!

 

 

CollectionLog-2018.11.07-18.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[asdxxz23]

Не знаю поможет или нет - В компьютере два жестких диска, на каждом стоит по win7, та винда что на диске 0 не используется, работают только в той что на первом .

frstadd.rar

[thyrex]

Расшифровки этой версии Scarab скорее всего нет. Прикрепите к следующему сообщению в одном архиве несколько зашифрованных файлов и файл C:\HOW TO RECOVER ENCRYPTED FILES.TXT.

 

Файл C:\Windows\svchost.bat Вам известен?

 

2018-10-09 22:15 - 2018-08-18 23:33 - 020462933 _____ C:\Users\admin.GLAVBUH\Downloads\pscan24.exe.[crab7765@gmx.de].crab

2018-10-09 21:48 - 2018-10-09 21:48 - 000000000 ____D C:\Users\admin.GLAVBUH\AppData\Local\tkdata

2018-10-09 21:44 - 2018-10-08 13:36 - 000000333 _____ C:\Users\admin.GLAVBUH\Desktop\1 - копия.VBS.[crab7765@gmx.de].crab

2018-10-09 21:44 - 2018-02-05 04:08 - 000864093 _____ C:\Users\admin.GLAVBUH\Desktop\mimik111.exe.[crab7765@gmx.de].crab

2018-10-09 21:44 - 2017-12-20 02:17 - 000645821 _____ C:\Users\admin.GLAVBUH\Desktop\mimik.exe.[crab7765@gmx.de].crab

С помощью вот этого "добра", которое само попало под раздачу, к Вам и проникли.

 

Пока будет только чистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2018-10-13 22:00 - 2018-10-13 22:00 - 000918946 _____ C:\Users\usr\mOfezgsMFpPbq.bmp
2018-10-13 21:28 - 2018-10-13 21:28 - 000000891 _____ C:\Users\usr\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:27 - 2018-10-13 21:27 - 000000891 _____ C:\Users\usr\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 22:00 - 000000891 _____ C:\Users\usr\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 22:00 - 000000891 _____ C:\Users\usr\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-13 21:26 - 2018-10-13 21:26 - 000000891 _____ C:\Users\admin.GLAVBUH\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-539052516-277693242-3939536066-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-539052516-277693242-3939536066-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp] - hxxps://clients2.google.com/service/update2/crx
Task: {E28F8D4E-1D27-4DB3-8E0C-FFEDBE15F78F} - \Microsoft\Windows\Autochk\ScheduledDefrageres -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\usr:id [32]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\63073670.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\63674833.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\94373791.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\63073670.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\63674833.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\94373791.sys => ""="Driver"
2017-09-08 19:49 - 2017-09-08 19:49 - 000000761 _____ () C:\Users\usr\AppData\Local\uBar.lnk
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[asdxxz23]

Прошу прощения за тормоз с моей стороны, в течении часа сделаю всё это.

[asdxxz23]

Вот )) прошу еще раз прощения за то что долгий такой, хотелось бы узнать еще, можно как-нибудь сделать подобный дешифратор? Люди кому принадлежит компьютер готовы денег заплатить) только не мошенникам)

Fixlog.txt

[asdxxz23]

Может можно хоть что-нибудь сделать? кто-нибудь может сделать дешифратор?

[thyrex]

Увы

[asdxxz23]

Увы

это тело просит 400 долларов, возможно тут есть пострадавшие от того же дела? Могли бы скинуться, видимо всё равно покупать.... или тут такое не приветствуется?

[thyrex]

Ключи будут разные для разных компьютеров. Так что смысла в общей копилке нет.