Перейти к содержимому


Фотография
- - - - -

Проблема с шифровальщиком CRYPTED000007

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 OFF   VitProff

VitProff

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 05 Август 2019 - 16:14

Обратился ко мне клиент с зашифрованными файлами шифровальщиком который переименовал файлы и прописал расширение CRYPTED000007.

 

Мне уже несколько раз помогли на этом и на других форумах с расшифровкой разных шифровальщиков за что Всем огромное спасибо.

 

Теперь попался мне этот шифровальщик. Читал что расшифровки нет но все же создам тему. Возможно кто-то сможет помочь.

Прикрепляю результат работы AutoLogger

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 05 Август 2019 - 16:19

Здравствуйте!

Читал что расшифровки нет

Это так, её по-прежнему нет. В логах видны следы, почистим.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~3\SysWOW64\rwORTuf.cmd', '');
 QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\rwORTuf.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\rwORTuf.cmd', '64');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '64');
 DeleteFile('C:\ProgramData\services\csrss.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager', 'command', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   VitProff

VitProff

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 05 Август 2019 - 16:41

Спасибо за ответ!

Я сделаю образ системы и файлов клиента и сохраню у себя.
Буду ждать когда появится дешифратор поскольку файлы очень важные у клиента.

 


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 05 Август 2019 - 16:53

Не Ваш ли это клиент https://virusinfo.in...ad.php?t=223338? :)
  • 0
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   VitProff

VitProff

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 05 Август 2019 - 17:02

Да это он.


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных