Перейти к содержанию

Помощь с рашифровкой после атаки CrytpXXX (ожидание ответа)

HelpSeeker
 Поделиться

Рекомендуемые сообщения

HelpSeeker Новичок

HelpSeeker

Опубликовано
Опубликовано (изменено)

Здравствуйте, уважаемые! 

 

Случилась неприятность - родственник подцепил неизвестным образом троян-вымогатель, в результате чего большое кол-во файлов оказалось закриптовано (расширение .crypt) Причем поражен оказался только один из них двух имеющихся жестких дисков (два логических).

Сам троян, хочется верить, я удалил утилитой от ESET + Kaspersky Virus Removal Tool. 

 

А вот с расшифровкой вопрос обстоит сложнее. Нагуглили RannohDecryptor 1.9.1.0, который помог, но только частично. Закриптованы были архивы, базы, вордовские файлы и несколько тысяч обычных тесктовых файлов (,txt). К счастью, нашлись резервные копии некоторых пострадавших файлов, что позволило запустить декриптор. Но после прогона выяснилось, что он расшифровал все, кроме текстовых файлов (хотя ключ вытащил именно и тхт-шного файлика). По не очень понятной мне причине он их просто игнорирует. Во время скана видно, что он их сканирует, но не распознает как закприптованные и, следовательно, не пытается расшифровать.

Что мы делаем не так?

 

Логи прилагаю. Если нужна еще какая-то информация, постараюсь добыть. Есть несклько пар оригинальных файлов и их закриптованый вариант. Ну и тот мусор, который троян оставил в каждой директории.

 

Заранее спаибо!

CollectionLog-2016.05.14-23.27.zip

Изменено пользователем HelpSeeker
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Удалите в MBAM все, кроме:

Файлы: 286
Trojan.FakePDF, C:\Program Files\xerox\Xerox Phaser 3124\Install\data\Ssopen.exe, , [a7886b6b3b5e270f1f08ffb8857bbf41],
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Судя по логу ничего не удалили. 

 

http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
HelpSeeker Новичок

HelpSeeker

Опубликовано
  • Автор
Опубликовано

Простите, возможно я вас неправильно понял. Я удалил вредоносное ПО, распознанное как Trojan.FakePDF, в точности соответствуя инструкции. В новом логе я больше упоминания сего объекта не вижу. И MBAM его тоже не видит, тобишь повторно я его удалить не могу. Что-то нужно было удалить помимо него?

 

Прилагаю предыдущий лог (как я понимаю, сделанный до повторного сканрования, но я не уверен) и скриншот, подтверждающий, что вышеназванный троян в карантине. 

mbam-log-prev.txt

post-38272-0-94231400-1463406614_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Я удалил вредоносное ПО, распознанное как Trojan.FakePDF, в точности соответствуя инструкции.

А вы моей запятой не заметили перед словом кроме

Ссылка на комментарий
Поделиться на другие сайты
HelpSeeker Новичок

HelpSeeker

Опубликовано
  • Автор
Опубликовано

 

 

 

Я удалил вредоносное ПО, распознанное как Trojan.FakePDF, в точности соответствуя инструкции.

А вы моей запятой не заметили перед словом кроме

 

 

Я и кроме не заметил. :oh:  Пошел чистить. И покупать очки...

Вышеназванный троян можно вернуть из карантина?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Мурат Профит
      Помощь в расшифровке файлов, после атаки Trojan.Encoder.31074 (Lockbit 3)
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • TonHaw
      Зашифровали с помощью LockBit black
      Автор TonHaw
      Здравствуйте. Зашифровали несколько серверов шифровальщиком LockBitBlack. Бэкапы тоже зашифрованы
      Зашифровали за выходные, утром на принтерах были листовки о выкупе (есть во вложении)
      virus.zip
    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
×
×
  • Создать...