Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке

28 октября, 2016

Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.

Приложил архив с оригинальным и шифрованным файлом

Строгое предупреждение от модератора thyrex

Не прикрепляйте вредоносных вложений

CollectionLog-2016.10.28-18.12.zip

Desktop.rar

Изменено 29 октября, 2016 пользователем Сергей Коломийченко

30 октября, 2016

Вообще логи нужно делать не через терминальную сессию.

Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

30 октября, 2016

Вообще логи нужно делать не через терминальную сессию

сейчас нету возможности подключиться консольно.

WIN-VRUTSUDIEQE_2016-10-30_16-21-30.7z

30 октября, 2016

Выполните скрипт в uVS:



;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл мне на почту.

30 октября, 2016

@mike 1,

без скрипта подойдет?

отправил

Изменено 30 октября, 2016 пользователем Сергей Коломийченко

30 октября, 2016

Без скрипта почтовик не пропустит.

31 октября, 2016

Выполните скрипт в uVS:

готово

31 октября, 2016

Выполните скрипт в uVS:



;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

addsgn 9252775A156AC1CC0B84514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb]

 

zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\GWWABPFL.EXE

bl 3C7C58CA951EA898315EFFCAA1B0760A 13824

chklst

delvir

Сделайте новый лог uVS.

31 октября, 2016

Сделайте новый лог uVS.

готово

WIN-VRUTSUDIEQE_2016-10-31_13-41-48.7z

31 октября, 2016

Теперь пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 . К запросу приложите архив ZOO.zip и несколько файлов в архиве.

31 октября, 2016

Теперь пишите запрос

СПАСИБО!!!

Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке

Рекомендуемые сообщения

Сергей Коломийченко

mike 1

Сергей Коломийченко

mike 1

Сергей Коломийченко

mike 1

Сергей Коломийченко

mike 1

Сергей Коломийченко

mike 1

Сергей Коломийченко

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum