Шифровальщик *.cbf

[Григорий90]

Помогите расшифровать файлы зашифрованные trojan-ransom.win32.cryakl.aiv

Файл протоколов (логов) во вложении

CollectionLog-2016.09.26-13.20.zip

Изменено 26 сентября, 2016 пользователем Григорий90

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\libeay32.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\ssleay32.dll', '');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotector.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Григорий90]

После выполнения скрипта компьютер не загружается 

[Sandor]

В Безопасном режиме тоже не загружается?

[mike 1]

После выполнения скрипта компьютер не загружается 

А что после выполнения скрипта компьютер ушел на перезагрузку?

[Григорий90]

нет, был перезагружен в ручную

в безопасном тоже не стартует

[Sandor]

Сфотографируйте экран и покажите.

[Григорий90]

Сфотографируйте экран и покажите.

Просто черный экран

[Sandor]

А сообщения BIOS-а при включении видите?

[Григорий90]

А сообщения BIOS-а при включении видите?

да, система начинает грузиться и повисает

[Sandor]

в безопасном тоже не стартует

т.е. выбрать в каком режиме грузиться Вы еще можете? Если да, попробуйте в режим восстановления.

[Григорий90]

Компьютер ожил    Вот файл логов  AdwCleaner

AdwCleanerS0.txt

[Sandor]

Компьютер ожил

Подробности расскажете?

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Григорий90]

Система в режиме восстановления не запустилась, зато после n-ой перезагрузки запустилась проверка жесткого диска, в результате которой было обнаружено 7 битых кластеров.

 

Подозрительный файл [KLAN-5082422409]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

 

condefclean.exe,

ConProtSetup.exe,

ContentProtector.exe,

ContentProtectorConrol.exe,

ContentProtectorDrv.sys,

ContentProtectorUpdate.exe,

import_root_cert.exe,

libeay32.dll,

ssleay32.dll,

certutil.exe,

mozcrt19.dll,

nspr4.dll,

nss3.dll,

plc4.dll,

plds4.dll,

smime3.dll,

softokn3.dll

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

Результаты лечения в AdwCleaner во вложении.

AdwCleanerC0.txt

AdwCleanerS4.txt

[Sandor]

Понятно.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.