Шифровальщик .crypted000007

[Виктория Михайлюченко]

Доброго времени суток! 30.05.2017 с адреса leonidq3khme@mail.ru пришло письмо со ссылкой на обновленные счета фискальной службы. После скачивания и распаковки архива все файлы на диске Д стали иметь расширение .crypted000007 и перестали открываться. Обращались к местным "мастерам", их предложения сводились к одному - все удалить и переустановить ОС, что не возможно в моем случае, т.к. компьютер рабочий и на нем содержится бухгалтерская информация за 7 лет.

CollectionLog-2017.06.06-08.18.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Ярлык

C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Виктория Михайлюченко]

[KLAN-6367591577]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Opera.lnk
bcqr00003.dat
bcqr00004.dat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
    
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

Отчет ClearLNK

ClearLNK-07.06.2017_07-52.log

[Sandor]

Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift

Еще это, пожалуйста.

[Виктория Михайлюченко]

 

CollectionLog-2017.06.07-08.20

CollectionLog-2017.06.07-08.20.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Виктория Михайлюченко]

 

FRST

Addition_07-06-2017 14.09.48.txt

FRST_07-06-2017 14.09.48.txt

Shortcut_07-06-2017 14.09.48.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  2017-05-30 14:47 - 2017-05-30 15:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-05-30 14:47 - 2017-05-30 15:09 - 00000000 __SHD C:\ProgramData\Windows
  2017-05-30 15:02 - 2015-07-15 09:00 - 00000000 ____D C:\Users\Все пользователи\ProductData
  2017-05-30 15:02 - 2015-07-15 09:00 - 00000000 ____D C:\ProgramData\ProductData
  Task: {87D9F09E-7847-43C7-94F7-FADEB8F64CDC} - System32\Tasks\Driver Booster SkipUAC (Виктория) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe 
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Виктория Михайлюченко]

Fixlog

Fixlog.txt

[Sandor]

Следы вымогателя очищены. С расшифровкой помочь не сможем.

[Виктория Михайлюченко]

А куда еще я могла бы обратиться, не подскажете?

[Sandor]

30-05-2017 15:15:45 Утилита архивации Windows

06-06-2017 07:16:28 Утилита архивации Windows

Попробуйте восстановить из резервных копий.

Либо пробуйте восстановить файлы средствами Windows.

 

Третий (плохой) вариант - обратиться к злодеям.

[Виктория Михайлюченко]

Спасибо

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Виктория Михайлюченко]

 

SecurityCheck

SecurityCheck.txt