cryakl Вирус зашифровал файлы vpupkin3@aol.com

[himan83gr]

Здравствуйте,

После зашифровки вирусом, много файлов особино типа *.xlsx , *.docx а так же база 1с,  приобрели имя файла

"email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-LNPQTUVXYABCUWYZACDEGHJKMNOHJJLNOPRS-15.11.2016 5@07@003246740@@@@@E02B-A3A6.randomname-DFFGHHIIJKKLBCCDDEEEFFGHHIIIJZ.ABB"

Попробывал расшифровать с помощью rectordecryptor, xoristdecryptor и rannohdecryptor. Не помогло. Проверил на вирусы с virus removal от kaspersky а так же с cureIt от Dr.Web. Все чисто. Логи утилити autologger прикрепляю как указанно в инструкции. Так же прикрепляю пару зашифрованных файлов с readme от мошеников . Спасибо за помощь и поддержку!

CollectionLog-2016.11.16-10.54.zip

vpupkin3@aol.comEncryptedFiles.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[himan83gr]

Все выполнил. Отчеты прикрепил.

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR Extension: (Новая вкладка – Яндекс) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm [2016-10-29]
CHR Extension: (Яндекс) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2016-10-29]
CHR Extension: (Yandex) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbpnbonnhilfdihhodnflcplajklibbc [2016-10-29]
CHR Extension: (Стартовая — Яндекс) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2016-10-02]
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\Downloads\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\Documents\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\Desktop\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\AppData\Roaming\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\AppData\README.txt
2016-11-15 05:22 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\AppData\LocalLow\README.txt
2016-11-15 05:19 - 2016-11-15 05:23 - 00000376 _____ C:\Users\Все пользователи\README.txt
2016-11-15 05:19 - 2016-11-15 05:23 - 00000376 _____ C:\Users\Public\Documents\README.txt
2016-11-15 05:19 - 2016-11-15 05:23 - 00000376 _____ C:\ProgramData\README.txt
2016-11-15 05:19 - 2016-11-15 05:22 - 00000376 _____ C:\Users\user1c\AppData\Local\README.txt
2016-11-15 05:19 - 2016-11-15 05:19 - 00000376 _____ C:\Users\Public\README.txt
2016-11-15 05:19 - 2016-11-15 05:19 - 00000376 _____ C:\Users\Public\Downloads\README.txt
C:\Users\Администратор\AppData\Local\Temp\{299B7273-7B18-407E-8F84-274CBC68FCF2}.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Изменено 16 ноября, 2016 пользователем Sandor

[himan83gr]

Fixlog прикрепил

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[himan83gr]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Создал. Вот номер запроса: INC000006965627

[Sandor]

До окончания не удаляйте папку C:\FRST

[himan83gr]

До окончания не удаляйте папку C:\FRST

[himan83gr]

На прошлой недели получил следующее сообщение от техподдержки Лаборатории Касперского "

Уважаемый пользователь, нашим вирусным аналитикам удалось восстановить ключ шифрования и для Вашего случая была разработана утилита расшифровки.
Загрузить данную утилиту Вы можете по ссылке...."

 

Скачал утилиту и с её помощью расшифровал все файлы! Вообщем молодцы люди Касперского! Всем спасибо за помощь и за интерес! Если нужна кому нибудь ссылка дайте знать.

 

Вопрос к @Sandor: Папку C:\FRST догадываюсь что уже можно удалить?!

[Sandor]

Если нужна кому нибудь ссылка дайте знать

Как правило, ключ уникальный и скорее всего для другого случая нужен будет другой.

 

Папку C:\FRST догадываюсь что уже можно удалить?

Да, удалите.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[himan83gr]

Все сделал. Файл прикрепил.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18125 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Дата установки обновлений: 2015-12-17 08:30:16

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

VLC media player v.2.2.1 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.41105.0 Внимание! Скачать обновления

Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.

TeamViewer 12 v.12.0.71503 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

---------------------------- [ UnwantedApps ] -----------------------------

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[himan83gr]

Спасибо большое!