xorist [РАСШИФРОВАНО] Помощь в расшифровке.

[stnipper]

Здравствуйте!

Если есть возможность окажите помощь.

Возможно после установки файла, который в архиве "virus" зашифровались файлы на логическом диске E, а логический диск D стал RAW

Addition.txt FRST.txt файлы.rar

[Sandor]

Здравствуйте!

 

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

[stnipper]

Спасибо, что помогаете!

Текст.rar

[Sandor]

Некоторое время подождите.

 

Получите и прочтите личное сообщение.

 

Как понимаю, шифрование произошло очень давно, верно?

 

Сделаем некоторую очистку системы.

 

Через Панель управления - Удаление программ удалите нежелательное ПО:

Цитата

 

Bonjour

UmmyVideoDownloader

VdhCoApp 1.6.3

 

 

Затем:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: I - I:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {0840ee0c-3d41-11ec-8655-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {09b13e1a-8c7e-11e7-ad69-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd473-bcfa-11e9-936d-806e6f6e6963} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd49d-bcfa-11e9-936d-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd4c4-bcfa-11e9-936d-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {14e6ad9e-f907-11e6-8fc4-00027216efe4} - J:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {14e6ada6-f907-11e6-8fc4-00027216efe4} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {189df493-4786-11e7-bf3b-00027216efe4} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {28e34513-1a8c-11e7-b8e2-806e6f6e6963} - I:\setup.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {31bc1374-bff8-11e8-8539-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {3af6a7e2-e289-11e8-bfd6-00027216efe4} - G:\wpi\MInst.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {3baaff50-d568-11ea-bb8f-00027216efe4} - N:\wpi\MInst.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {403a8ff3-318f-11eb-b43a-00027216efe4} - I:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {411b0068-1d6d-11e9-83e6-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {5291d9c0-e075-11e9-84b8-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {65c931a8-61f2-11eb-abe3-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8a6170d0-3e0b-11e8-9254-00027216efe4} - G:\DriverPack.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8a6170e0-3e0b-11e8-9254-00027216efe4} - H:\wpi\MInst.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8ccbda1e-b511-11e9-8040-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {97e53e46-f3ff-11e6-989d-00027216efe4} - G:\wpi\MInst.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {97e53e49-f3ff-11e6-989d-00027216efe4} - K:\wpi\MInst.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {a44dd262-a6aa-11e7-ade3-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {aed18621-a3bf-11e8-9b8d-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {aed1865e-a3bf-11e8-9b8d-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {afda033d-8a5d-11e8-9737-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c04159d6-508e-11e9-976a-00027216efe4} - I:\wpi\MInst.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c574591d-7311-11ea-9286-00027216efe4} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c5745922-7311-11ea-9286-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c88fb00b-0870-11ea-9ece-00027216efe4} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {cc9f34e1-ddcb-11e9-b8a1-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {d14ea1b7-a8a9-11ea-ab45-00027216efe4} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {d190e603-49af-11e7-acf3-00027216efe4} - J:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {f1c19ec5-eabc-11e6-a178-00027216efe4} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {ff77f084-2239-11ea-a77b-00027216efe4} - H:\HiSuiteDownLoader.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {9D4FFD23-B8C9-42FD-8E09-993D88FE1338} - \DRPNPS -> Нет файла <==== ВНИМАНИЕ
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{9544995D-C5C3-4EB2-9748-02823DF2ED03}] => (Allow) LPort=2869
  FirewallRules: [{01F3F64B-4AF3-4894-AF6C-BA949AF79994}] => (Allow) LPort=1900
  FirewallRules: [{A1CA20B2-647E-4FE7-AE61-9AF851D9DC1C}] => (Allow) LPort=24094
  FirewallRules: [{4D6C69B0-8180-4D3C-ACAF-000524DC8039}] => (Allow) LPort=24094
  FirewallRules: [{D7E8D187-0A11-40A5-860E-6504449EA64E}] => (Allow) LPort=7437
  FirewallRules: [{5A2CC29A-8CBB-40DC-A2B6-7534996A4C0A}] => (Allow) LPort=24094
  FirewallRules: [{0D3B53D1-2EB4-4C21-92B8-0212BC3E7F66}] => (Allow) LPort=24094
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[stnipper]

Дешифровка сработала, файлы расшифровались.

 

Шифрование произошло вчера. Перед установкой одной программы я отключил антивирус и вот так всё и произошло.

Когда я заметил, что что-то идёт не так, я перезагрузил компьютер. В этот момент скорее всего происходило шифрование на логическом диске D. Потому что до перезагрузки  диск D в системе был нормальным, а после перезагрузки стал RAW.

Сейчас пытаюсь восстановить файлы с него. Там есть и шифрованные и не шифрованные файлы однотипные.

 

С Fix-ом произошла промашка, не отключил антивирус, запускал повторно.

 

Огромное спасибо за помощь!

 

Fixlog.txt

[Sandor]

Странно, судя по логу, дата и время появления в системе записки о выкупе 2017-02-01 14:30.

Ладно, хорошо, что получилось.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[stnipper]

Сделано.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.30.3 Внимание! Скачать обновления
WinSCP 5.19.5 v.5.19.5 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.14.4431 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.72 v.1.72 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 331 (64-bit) v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
iTunes v.12.10.11.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Mega Codec Pack 15.8.5 v.15.8.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.5.4.904 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
AusLogics BoostSpeed 5.5.1.0 v.5.5.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

[stnipper]

Спасибо!