Перейти к содержанию

Расшифровать файлы от Ransom.Win32.Purgen.cy

Александр Клочко

От Александр Клочко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Александр Клочко Новичок

Александр Клочко

Опубликовано
Опубликовано

Прошелся по компьютеру с помощью Rescue Disk

Выдало следующее 

Проверка объектов: завершено меньше минуты назад   (событий: 10, объектов: 320259, время: 01:02:58)
22.05.17 11:35 Задача завершена
22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/614030.exe
22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/22010.exe
22.05.17 10:37 Обнаружено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/614030.exe
22.05.17 10:37 Обнаружено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Roaming/Microsoft/Windows/Templates/22010.exe
22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/X9H76EMG/404[2]
22.05.17 10:37 Удалено: Trojan-Ransom.Win32.Zerber.depu C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/FTM10QWF/2[1].gif
22.05.17 10:36 Обнаружено: Trojan-Ransom.Win32.Purgen.cy C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/X9H76EMG/404[2]
22.05.17 10:36 Обнаружено: Trojan-Ransom.Win32.Zerber.depu C:/Users/User/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/FTM10QWF/2[1].gif
22.05.17 10:32 Задача запущена
Но остались зашифрованные файлы с расширением .crypt пробовал утилитами с сайта Касперского, результат 0 
Утилита 
RannohDecryptor 

Говорит: Размер зашифрованного файла не совпадает с оригиналом. Оно так и есть, шифрованный больше... :(

CollectionLog-2017.05.23-11.57.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','20128');
 DeleteFile('C:\Windows\system32\Tasks\a3bmqqpgo','64');
 DeleteFile('C:\Users\User\AppData\Local\Temp\uhgfxtpkx.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
Александр Клочко Новичок

Александр Клочко

Опубликовано
  • Автор
Опубликовано (изменено)

Выполните скрипт в AVZ

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','20128');
 DeleteFile('C:\Windows\system32\Tasks\a3bmqqpgo','64');
 DeleteFile('C:\Users\User\AppData\Local\Temp\uhgfxtpkx.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

Прошелся скриптом и сформировал лог.

К тому же эта зараза зашифровала ВСЕ что нашла, не тронула документы только на рабочем столе, может прав не хватило... 

CollectionLog-2017.05.24-11.40.zip

Изменено пользователем Александр Клочко
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сообщение, оставленное вымогателем для связи, сохранилось?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [20128] => C:\PROGRA~3\LOCALS~1\Temp\ccjtfskr.scr
ShellIconOverlayIdentifiers: [OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\buShell.dll -> No File
ShellIconOverlayIdentifiers: [OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\buShell.dll -> No File
ShellIconOverlayIdentifiers: [OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\buShell.dll -> No File
Toolbar: HKLM - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine64\21.6.0.32\coIEPlg.dll No File
Toolbar: HKLM-x32 - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\coIEPlg.dll No File
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\Exts\Chrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\Exts\Chrome.crx <not found>
Task: {9C6E27AF-C30F-45D1-8087-0BB8851F4C4D} - \a3bmqqpgo -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В таком случае гадать, что это за шифровальщик, тоже не имеет смысла/

 

Файлы карантина KRD прислать можете?

Ссылка на комментарий
Поделиться на другие сайты
Александр Клочко Новичок

Александр Клочко

Опубликовано
  • Автор
Опубликовано

В таком случае гадать, что это за шифровальщик, тоже не имеет смысла/

 

Файлы карантина KRD прислать можете?

А как папка называется? Там bases_rd data_rd qb report... папки.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      От DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      От foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Rena73
      Пытаюсь расшифровать шифровальщика.
      От Rena73
      Пытаюсь расшифровать файлы. не получается. ZXyL8wFFae.rar
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
×
×
  • Создать...