Перейти к содержанию

Шифровщик-вымогатель .сrypter000007

FixMePlz
 Поделиться

Рекомендуемые сообщения

FixMePlz

FixMePlz

Опубликовано
Опубликовано (изменено)

Доброго времени суток! Было открыто письмо в стиле "оплатите задолженность". В нем был архив-троян(ы), Trojan Filecoder UPX, Trojan Fake MS, Ransom.Troldesh, Backdoor.BIFrose (были помещены в карантин). Потом упал explorer.exe, после перезапуска системы все данные были зашифрованы с расширением .crypted000007. И были созданы txt-шники:  

 

"Baши фaйлы былu зaшuфpованы.

Чmобы pасшuфpoвaть их, Bам неoбxoдuмо omпрaвumь kод:
5D53D99D4882C54033D0|0
нa элekтpонный aдрec gervasiy.menyaev@gmail.com ."
 
Было перепробовано множество декрипторов которые не дали позитивный результат.
 
Прикрепляю логи сделаны FRST64.
 
Зарание благодарен за любую помощь!

FRST64_log.rar

CollectionLog-2017.05.03-11.34.zip

Изменено пользователем FixMePlz
SQ

SQ

Опубликовано
Опубликовано

Удалите IObit через установку программ в панели управления.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFileF('C:\ProgramData\Drivers', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\services\csrss.exe','');
 QuarantineFileF('C:\ProgramData\services', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 DeleteFile('C:\ProgramData\services\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

FixMePlz

FixMePlz

Опубликовано
  • Автор
Опубликовано
 Ответ:

KLAN-6191760581

Thank you for contacting Kaspersky Lab

 

The files have been scanned in automatic mode.

 

Malicious code has been detected in the following files:

csrss.exe - Trojan.Win32.Agent.nezeod

csrss_0.exe - Trojan-Ransom.Win32.Agent.ivl

csrss_1.exe - HEUR:Trojan.Win32.Generic

 


We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

SQ

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408"
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
U0 aswVmm; no ImagePath
2017-05-02 17:51 - 2017-05-02 17:51 - 00000000 ____D C:\Users\11111\AppData\Roaming\IObit
2017-05-02 15:11 - 2017-05-04 10:21 - 00000000 __SHD C:\Users\Все пользователи\services
2017-05-02 15:11 - 2017-05-04 10:21 - 00000000 __SHD C:\ProgramData\services
2017-05-02 14:11 - 2017-05-02 14:11 - 03932214 _____ C:\Users\Админ\AppData\Roaming\9684D7A39684D7A3.bmp
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README9.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README8.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README7.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README6.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README5.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README4.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README3.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README2.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README10.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Админ\Desktop\README1.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README9.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README8.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README7.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README6.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README5.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README4.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README3.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README2.txt
2017-05-02 14:11 - 2017-05-02 14:11 - 00004162 _____ C:\Users\Public\Desktop\README10.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README9.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README8.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README7.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README6.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README5.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README4.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README3.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README2.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README10.txt
2017-05-02 13:48 - 2017-05-02 13:48 - 00004162 _____ C:\README1.txt
2017-05-02 13:47 - 2017-05-04 10:21 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-02 13:47 - 2017-05-04 10:21 - 00000000 __SHD C:\ProgramData\Windows
Folder: C:\Users\Админ\Documents\ghj
2017-05-04 09:47 - 2016-11-28 12:22 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-05-04 09:47 - 2016-11-28 12:22 - 00000000 ____D C:\ProgramData\ProductData
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Админ\AppData\Roaming\IObit
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\Users\Админ\AppData\LocalLow\IObit
2017-05-04 09:47 - 2016-11-28 12:21 - 00000000 ____D C:\ProgramData\IObit
2017-05-02 14:11 - 2017-05-02 14:11 - 3932214 _____ () C:\Users\Админ\AppData\Roaming\9684D7A39684D7A3.bmp
Folder: C:\ProgramData\Drivers
Task: {765E22DF-9DAA-4462-BFB3-B7869FEBF741} - System32\Tasks\Driver Booster SkipUAC (Админ) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe
MSCONFIG\startupreg: Client Server Runtime Subsystem =>
MSCONFIG\startupreg: CSRSS =>
MSCONFIG\startupreg: Windows Session Manager =>
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

SQ

SQ

Опубликовано
Опубликовано

По каким-то причинам в логах фикса кириллица не отображалась, приложите новые логи утилиты FRST (FRST.txt и Addition.txt).

SQ

SQ

Опубликовано
Опубликовано

Да, теперь все ок. Приложите новые логи утилиты FRST, для того чтобы убедиться, что не осталось остатков.

SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
2017-05-02 15:17 - 2017-05-02 15:17 - 1012224 ___SH () C:\Users\Админ\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

djowl

djowl

Опубликовано
Опубликовано

Добрый день! Вера пользователь в деканате подцепил вирус путем перехода по ссылке присланного письма так называемого счета. Троян вымогатель .crypted000007. Однако без всяких требований... Но суть остается той же зашифровал порядком файлов на компе. Нужна помощь в дешифровке. К письму прилагаю архив с файлами: Лог системы, принскрин письма, в файле запуск вируса - ссылка перехода на вирус, лог malwarebytes, лог FRST, лог [/size]ClearLNK и пару зашифрованных файлов. Буду благодарен всякой помощи![/size]
 
P.S. Прошу прощение если нарушил какие-нибудь правила оформления. С уважением D.[/size]

 

Сообщение от модератора Mark D. Pearlstone
Не пишите в чужих темах раздела. Не прикрепляйте вредоносные и потенциально вредоносные файлы и ссылки на них на форум. Создайте свою тему и выполните правила раздела https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Frazer
      Зашифровались файлы (.CRYPTED000007) Прошу помочь в расшифровке!
      Автор Frazer
      После открытия файла, пришедшего по почте зашифровались файлы (расширение поменялось на .CRYPTED000007) и сообщение на экране: Baшu фaйлы былu зaшuфpoваны. Далее в файле Readme.txt :Чmобы pacшифpoваmь их, Bам необхoдuмо отпрaвuть кoд: 7357023A1046244760BC|0 на элекmронный адpeс pilotpilot088@gmail.com
      CollectionLog-2018.12.27-15.25.zip
    • Алексей Ананьев
      Дешифровка файлов, вирус Trojan.Win32.Agent.nezeod
      Автор Алексей Ананьев
      Доброго времени суток, при запуске компьютера на фоновом изображении рабочего стола написано "Внимание! Все важнейшие файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". Файл README.txt прикрепил к теме.
      Я скачал Kaspersky Virus Removal Tool, были обнаружены и удалены вирусы, отчет приложен- файлы KVRT,KVRT2.
      Как произвести дешифровку файлов?
      Спасибо.
      CollectionLog-2018.12.15-18.25.zip


      README1.txt
    • asushnik
      Зашифровались файлы
      Автор asushnik
      День добрый! На компьютере был установлен платный антивирус Касперский Ендпоинт Секьюрити, но однако это не спасло от заражения. Шифровальщик просит отправить код на почту pilotpilot088@gmail.com, если возможно помогите расшифровать. Утилита adwcleaner показала что вирус pup.adware.heuristic с запланированной задачей и ключем в реестре
    • Pogodi
      Расшифровка trojan.win32.generic
      Автор Pogodi
      Здравствуйте!
      Есть ли уже готовый продукт для моей проблемы:
       
      Вaшu файлы были зaшuфpoваны. Чmобы рacшифpоваmь uх, Вам нeобxодимо omпрaвuть код: A297E1C9B9CC9799DEFA|0 нa элекmpoнный адpеc pilotpilot088@gmail.com . Дaлee вы noлyчume вcе нeoбходимые инсmpykцuu. Попыmkи pacшuфрoваmь сaмocтoятельнo не nриведym ни k чeмy, kромe бeзвозвpamнoй nоmеpu uнфopмaцuu. Eслu вы всё жe хoтuтe nоnыmаmьcя, mo предвaриmeльнo cделaйтe peзeрвныe konиu фaйлoв, uнaчe в слyчaе иx uзменeнuя рaсшuфровка cmанeт нeвозмoжной ни nри kакux ycловuях. Ecли вы не noлучuлu оmвеmа по вышeyказaнномy адрeсy в течение 48 чacoв (и moльko в эmoм слyчae!), воспользуйmeсь формoй обрamной связи. Этo мoжнo cделamь двумя сnосoбамu: 1) Cкaчaйтe u ycтановume Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en B адpeсной cmрокe Tor Browser-a ввeдите aдрec: http://cryptsen7fo43rr6.onion/ u нaжмитe Enter. 3aгpузиmcя стpанuца с фopмой обратной cвязu. 2) B любом браyзeре nеpeйдиmе по oдномy uз адрecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A297E1C9B9CC9799DEFA|0 to e-mail address pilotpilot088@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2018.12.13-21.32.zip
    • dozy82@mail.ru
      Шифровальщик pilotpilot088@gmail.com
      Автор dozy82@mail.ru
      Файлы компьютера были зашифрованы. На рабочем столе появилось 9 фалов README со следующим содержанием:
      Bашu файлы былu зaшuфровaны.
      Чmобы расшuфрoвaть uх, Вам необходuмо отправиmь код:
      27A81BD6C0E73F5180A5|0
      на элеkтpoнный aдpeс pilotpilot088@gmail.com .
      Далее вы nолyчumе вcе нeобхoдимыe инcmрукцuи.
      Пoпыmкu рaсшuфрoвать cамocmoяmельнo нe nрuвeдут ни k чeму, kрoме бeзвoзврamнoй поmерu инфоpмaциu.
      Еслu вы всё же хomитe nопытaтьcя, тo nредвaрuтeльно сдeлайтe peзервные kопии фaйлов, инaчe в cлyчae
      ux uзменения рacшифрoвкa сmaнеm нeвoзможной нu npи kaких условuях.
      Ecлu вы не получuлu omвеma по вышеуkaзaнномy адpеcy в meчениe 48 чacoв (и тoльko в эmом случае!),
      воcпoльзуйmecь фopмoй обpаmнoй cвязи. Эmо можно сделать двyмя сnoсобамu:
      1) Скaчайте u yсmaновuтe Tor Browser no ccылke: https://www.torproject.org/download/...d-easy.html.en
      В aдpecной стpокe Tor Browser-a ввeдume адpeс:
      http://cryptsen7fo43rr6.onion/
      и нaжмuте Enter. 3arpузитcя cmрaница c фopмoй oбpamнoй связu.
      2) B любом браyзерe перейдumе no oдномy из адрecoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/




      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      27A81BD6C0E73F5180A5|0
      to e-mail address pilotpilot088@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      If you still want to try to decrypt them by yourself please make a backup at first because
      the decryption will become impossible in case of any changes inside the files.
      If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
      use the feedback form. You can do it by two ways:
      1) Download Tor Browser from here:
      https://www.torproject.org/download/...d-easy.html.en
      Install it and type the following address into the address bar:
      http://cryptsen7fo43rr6.onion/
      Press Enter and then the page with feedback form will be loaded.
      2) Go to the one of the following addresses in any browser:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
      CollectionLog-2018.12.09-20.16.zip
×
×
  • Создать...