Шифровальщик .crypted000007

6 июня, 2017

Доброго времени суток! 30.05.2017 с адреса leonidq3khme@mail.ru пришло письмо со ссылкой на обновленные счета фискальной службы. После скачивания и распаковки архива все файлы на диске Д стали иметь расширение .crypted000007 и перестали открываться. Обращались к местным "мастерам", их предложения сводились к одному - все удалить и переустановить ОС, что не возможно в моем случае, т.к. компьютер рабочий и на нем содержится бухгалтерская информация за 7 лет.

CollectionLog-2017.06.06-08.18.zip

6 июня, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Ярлык

C:\Users\Виктория\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

7 июня, 2017

[KLAN-6367591577]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Opera.lnk
bcqr00003.dat
bcqr00004.dat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

Отчет ClearLNK

ClearLNK-07.06.2017_07-52.log

7 июня, 2017

Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift

Еще это, пожалуйста.

7 июня, 2017

CollectionLog-2017.06.07-08.20

CollectionLog-2017.06.07-08.20.zip

7 июня, 2017

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

7 июня, 2017

FRST

Addition_07-06-2017 14.09.48.txt

FRST_07-06-2017 14.09.48.txt

Shortcut_07-06-2017 14.09.48.txt

7 июня, 2017

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2017-05-30 14:47 - 2017-05-30 15:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-30 14:47 - 2017-05-30 15:09 - 00000000 __SHD C:\ProgramData\Windows
2017-05-30 15:02 - 2015-07-15 09:00 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-05-30 15:02 - 2015-07-15 09:00 - 00000000 ____D C:\ProgramData\ProductData
Task: {87D9F09E-7847-43C7-94F7-FADEB8F64CDC} - System32\Tasks\Driver Booster SkipUAC (Виктория) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe 
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

7 июня, 2017

Fixlog

Fixlog.txt

7 июня, 2017

Следы вымогателя очищены. С расшифровкой помочь не сможем.

7 июня, 2017

А куда еще я могла бы обратиться, не подскажете?

7 июня, 2017

30-05-2017 15:15:45 Утилита архивации Windows

06-06-2017 07:16:28 Утилита архивации Windows

Попробуйте восстановить из резервных копий.

Либо пробуйте восстановить файлы средствами Windows.

Третий (плохой) вариант - обратиться к злодеям.

7 июня, 2017

Спасибо

7 июня, 2017

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

10 июня, 2017

SecurityCheck

SecurityCheck.txt

Шифровальщик .crypted000007

Рекомендуемые сообщения

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Виктория Михайлюченко

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum