Перейти к содержанию

[РАСШИФРОВАНО] Помощь в расшифровке.

stnipper
 Share Подписчики 2

Рекомендуемые сообщения

stnipper

stnipper 0

Опубликовано
Опубликовано

Здравствуйте!

Если есть возможность окажите помощь.

Возможно после установки файла, который в архиве "virus" зашифровались файлы на логическом диске E, а логический диск D стал RAW

Addition.txt FRST.txt файлы.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Некоторое время подождите.

 

Получите и прочтите личное сообщение.

 

Как понимаю, шифрование произошло очень давно, верно?

 

Сделаем некоторую очистку системы.

 

Через Панель управления - Удаление программ удалите нежелательное ПО:

Цитата

 

Bonjour

UmmyVideoDownloader

VdhCoApp 1.6.3

 

 

Затем:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: I - I:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {0840ee0c-3d41-11ec-8655-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {09b13e1a-8c7e-11e7-ad69-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd473-bcfa-11e9-936d-806e6f6e6963} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd49d-bcfa-11e9-936d-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd4c4-bcfa-11e9-936d-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {14e6ad9e-f907-11e6-8fc4-00027216efe4} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {14e6ada6-f907-11e6-8fc4-00027216efe4} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {189df493-4786-11e7-bf3b-00027216efe4} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {28e34513-1a8c-11e7-b8e2-806e6f6e6963} - I:\setup.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {31bc1374-bff8-11e8-8539-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {3af6a7e2-e289-11e8-bfd6-00027216efe4} - G:\wpi\MInst.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {3baaff50-d568-11ea-bb8f-00027216efe4} - N:\wpi\MInst.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {403a8ff3-318f-11eb-b43a-00027216efe4} - I:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {411b0068-1d6d-11e9-83e6-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {5291d9c0-e075-11e9-84b8-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {65c931a8-61f2-11eb-abe3-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8a6170d0-3e0b-11e8-9254-00027216efe4} - G:\DriverPack.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8a6170e0-3e0b-11e8-9254-00027216efe4} - H:\wpi\MInst.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8ccbda1e-b511-11e9-8040-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {97e53e46-f3ff-11e6-989d-00027216efe4} - G:\wpi\MInst.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {97e53e49-f3ff-11e6-989d-00027216efe4} - K:\wpi\MInst.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {a44dd262-a6aa-11e7-ade3-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {aed18621-a3bf-11e8-9b8d-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {aed1865e-a3bf-11e8-9b8d-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {afda033d-8a5d-11e8-9737-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c04159d6-508e-11e9-976a-00027216efe4} - I:\wpi\MInst.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c574591d-7311-11ea-9286-00027216efe4} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c5745922-7311-11ea-9286-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c88fb00b-0870-11ea-9ece-00027216efe4} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {cc9f34e1-ddcb-11e9-b8a1-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {d14ea1b7-a8a9-11ea-ab45-00027216efe4} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {d190e603-49af-11e7-acf3-00027216efe4} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {f1c19ec5-eabc-11e6-a178-00027216efe4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {ff77f084-2239-11ea-a77b-00027216efe4} - H:\HiSuiteDownLoader.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {9D4FFD23-B8C9-42FD-8E09-993D88FE1338} - \DRPNPS -> Нет файла <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{9544995D-C5C3-4EB2-9748-02823DF2ED03}] => (Allow) LPort=2869
FirewallRules: [{01F3F64B-4AF3-4894-AF6C-BA949AF79994}] => (Allow) LPort=1900
FirewallRules: [{A1CA20B2-647E-4FE7-AE61-9AF851D9DC1C}] => (Allow) LPort=24094
FirewallRules: [{4D6C69B0-8180-4D3C-ACAF-000524DC8039}] => (Allow) LPort=24094
FirewallRules: [{D7E8D187-0A11-40A5-860E-6504449EA64E}] => (Allow) LPort=7437
FirewallRules: [{5A2CC29A-8CBB-40DC-A2B6-7534996A4C0A}] => (Allow) LPort=24094
FirewallRules: [{0D3B53D1-2EB4-4C21-92B8-0212BC3E7F66}] => (Allow) LPort=24094
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты
stnipper

stnipper 0

Опубликовано
  • Автор
Опубликовано

Дешифровка сработала, файлы расшифровались.

 

Шифрование произошло вчера. Перед установкой одной программы я отключил антивирус и вот так всё и произошло.

Когда я заметил, что что-то идёт не так, я перезагрузил компьютер. В этот момент скорее всего происходило шифрование на логическом диске D. Потому что до перезагрузки  диск D в системе был нормальным, а после перезагрузки стал RAW.

Сейчас пытаюсь восстановить файлы с него. Там есть и шифрованные и не шифрованные файлы однотипные.

 

С Fix-ом произошла промашка, не отключил антивирус, запускал повторно.

 

Огромное спасибо за помощь!

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Странно, судя по логу, дата и время появления в системе записки о выкупе 2017-02-01 14:30.

Ладно, хорошо, что получилось.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] Помощь в расшифровке.
Sandor

Sandor 1 253

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.30.3 Внимание! Скачать обновления
WinSCP 5.19.5 v.5.19.5 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.14.4431 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.72 v.1.72 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 331 (64-bit) v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
iTunes v.12.10.11.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Mega Codec Pack 15.8.5 v.15.8.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.5.4.904 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
AusLogics BoostSpeed 5.5.1.0 v.5.5.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • tized-NSK
      Зашифровано .rty, помогите расшифровать
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Igor77
      (Расшифровано) Шифровальщик win32/sorikrypt
      От Igor77
      Доброго дня!
      Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip
      files.zip virus.zip
    • ZloyM
      Файлы зашифрованы. В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Сергей СР
      Помогите восстановить жесткий диск после шифровальшика
      От Сергей СР
      Доброго времени суток!
       
      Поймали шифровальшика на старый домашний компьютер. После переговоров и оплаты получили от злоумышленников ключ, программу и файлы, которые якобы должны были расшифровать данные . Программа по видимому была пустышкой для вымогания денег. На компьютере установлено два физических диска: SSD с ОС и жесткий диск с данными на 1Тб. До взлома на ЖД был один единственный раздел, занимавший всё свободное пространство. На диск было записано ~350 - 400 Гб данных. Сейчас там два раздела (Том D 391 Гб и E 97 Гб) и неразмеченная область. Можно ли как-то восстановить данные с жесткого диска? Заранее спасибо.
       

      Addition.txt FRST.txt Зашифрованные файлы и сообщение.zip
    • moises ribeiro
      (.7ch@v3s)
      От moises ribeiro
      Fui hackeado por essa extensão, alguém poderia me ajudar? 
      Dados Criptografados (.7ch@v3s)
      A unica forma de desbloquear os arquivos é
      adquirir o Decryptor+Chave respectivo a este ID-72371SD
      envie o id no email para contato: 
       recoverydatablock@proton.me
      prazo max para o contato  20/06/2023 16:00 PM
      - N delete arquivos trancados
      - N não renomeie os arquivos trancados .7ch@v3s
      - N  não poste esta mensagem em nenhum site
        nem denuncie pois podem bloquear este email. 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»".
×
×
  • Создать...