Перейти к содержанию

Все файлы на компьютере зашифрованы Файл "CRYPTED000007"


Рекомендуемые сообщения

Пришло письмо на почту, попытались открыть архив, не удалось.

После обнаружили, что все файлы на дисках были зашифрованы, а далее вылезла надпись на рабочем столе, следующего содержания: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать  в файлах README.txt, которые можно найти на любом из дисков.

А вот, что было в README:

Baшu фaйлы были зaшифрoваны.
Чmобы pacшuфрoвaть ux, Bам нeобходимo omправить кoд:
6DBEF4BA457D3B1B95F6|0
на элekтрoнный aдpес Novikov.Vavila@gmail.com .
Далеe вы nолучитe вcе нeoбxoдимые uнcтрукцuu.
Попытku pacшuфровaть cамoстоятeльнo нe nрuведym ни к чeму, кpоме безвозвpаmной потepu uнфopмации.
Если вы вcё же хоmumе пoпытaтьcя, то nредвapuтельно cделaйтe pезeрвные коnии фaйлов, инaче в cлучaе
ux uзменeнuя расшифровкa cтaнeт нeвозмoжнoй ни пpu kакиx ycлoвuях.
Еслu вы не noлyчили оmветa no вышеykaзанномy aдреcy в теченue 48 чаcов (u moлькo в эmoм слyчaе!),
воcпoльзуйmecь фоpмой oбраmнoй связu. Это мoжнo cдeлать двyмя cпосoбамu:
1) Сkaчайme u уcmaновumе Tor Browser пo ссылkе: https://www.torproject.org/download/download-easy.html.en
B адрeсной сmрoкe Tor Browser-а ввeдume адpес:
http://cryptsen7fo43rr6.onion/
u нaжмите Enter. 3аrpузитcя странuцa c фоpмoй обpатнoй cвязи.
2) В любoм браyзepе neрeйдиmе nо однoмy uз aдресoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

По вашему руководству, был скачан Касперский, проверен на вирусы, собраны Логи  (скидываю их).

 

Жду дальнейшего указания, что делать.

Спасибо.
 

CollectionLog-2017.06.13-16.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\Mem Reduct\memreduct64.exe','');
 QuarantineFile('C:\Users\Светлана\AppData\Roaming\Microsoft\AbiWord\libAbiWord.dll','');
 QuarantineFile('C:\Users\Светлана\AppData\Roaming\oobe\MSVFW32.dll','');
 QuarantineFile('c:\users\Светлана\appdata\roaming\microsoft\abiword\abiword.exe','');
 DeleteFile('C:\Windows\Tasks\Safe Saver-codedownloader.job','32');
 DeleteFile('C:\Windows\Tasks\RegTask.job','32');
 DeleteFile('C:\Windows\Tasks\Safe Saver-enabler.job','32');
 DeleteFile('C:\Windows\Tasks\Safe Saver-firefoxinstaller.job','32');
 DeleteFile('C:\Windows\system32\Tasks\RegTask','64');
 DeleteFile('C:\Windows\system32\Tasks\Safe Saver-codedownloader','64');
 DeleteFile('C:\Windows\system32\Tasks\Safe Saver-enabler','64');
 DeleteFile('C:\Windows\system32\Tasks\Safe Saver-firefoxinstaller','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Выполнила все скриты, отправила письмо по адресу с прикрепленным Zip-архивом.

Скидываю последний лог, который есть в папке AutoLogger.

CollectionLog-2017.06.13-16.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Если темы объединены, нужно ли мне делать то, что Вы советуете такому же пострадавшему, как и я.

Я имею ввиду:

4) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\1\AppData\Local\Akamai\netsession_win.exe  (file missing) (HKCU) (2016/12/10)
O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2017/05/27)
O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\1\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2016/12/09)
O4 - MSConfig\startupreg: [PBot] C:\Users\1\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\1\AppData\Roaming\PBot\launchall.py" (HKCU) (2016/12/09)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

5)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

После скана AdwCleaner

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты

Если темы объединены, нужно ли мне делать то, что Вы советуете такому же пострадавшему, как и я

Выполнять нужно только то, что пишут Вам, а не другим пострадавшим, пусть и с такой же проблемой.

 

Файлы

C:\Users\Светлана\AppData\Roaming\Microsoft\AbiWord\libAbiWord.dll

C:\Users\Светлана\AppData\Roaming\oobe\MSVFW32.dll

c:\users\Светлана\appdata\roaming\microsoft\abiword\abiword.exe

проверьте на https://virustotal.comи пришлите ссылки на результаты проверки
Ссылка на комментарий
Поделиться на другие сайты

 

Если темы объединены, нужно ли мне делать то, что Вы советуете такому же пострадавшему, как и я

Выполнять нужно только то, что пишут Вам, а не другим пострадавшим, пусть и с такой же проблемой.

 

Файлы

C:\Users\Светлана\AppData\Roaming\Microsoft\AbiWord\libAbiWord.dll

C:\Users\Светлана\AppData\Roaming\oobe\MSVFW32.dll

c:\users\Светлана\appdata\roaming\microsoft\abiword\abiword.exe

проверьте на https://virustotal.comи пришлите ссылки на результаты проверки

 

https://virustotal.com/ru/file/97353af00a4d507f0933bfc2d2e2ca30b525b8635dd12fb80f4fac1181a539e4/analysis/1497429490/

Остальных файлов нет.

В папке oobe нет ничего.

И abiword.exe тоже нет в папке AbiWord

 

 

Если темы объединены, нужно ли мне делать то, что Вы советуете такому же пострадавшему, как и я

Выполнять нужно только то, что пишут Вам, а не другим пострадавшим, пусть и с такой же проблемой.

 

Файлы

C:\Users\Светлана\AppData\Roaming\Microsoft\AbiWord\libAbiWord.dll

C:\Users\Светлана\AppData\Roaming\oobe\MSVFW32.dll

c:\users\Светлана\appdata\roaming\microsoft\abiword\abiword.exe

проверьте на https://virustotal.comи пришлите ссылки на результаты проверки

 

https://virustotal.com/ru/file/97353af00a4d507f0933bfc2d2e2ca30b525b8635dd12fb80f4fac1181a539e4/analysis/1497429490/

Остальных файлов нет.

В папке oobe нет ничего.

И abiword.exe тоже нет в папке AbiWord

 

Abiword.exe нашла, делаю проверку.

https://virustotal.com/ru/file/1cfde10cd2b54490bd82e90285586cc462ce36b4a7b4fa3b7b3346f2051a345b/analysis/1497430962/

Только с папкой oobe проблема. Там нет ничего, не могу проверить.

Ссылка на комментарий
Поделиться на другие сайты

@Уралмазсервис, здравствуйте!

 

Не пишите в чужой теме, создайте свою. Прочтите и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Что-нибудь еще нужно сделать, по моей проблеме?

Каждый раз при включении компьютера, вылезает AbiWord. Очень похож, на Microsoft Word. Хотя его раньше никогда у меня не было.

Изменено пользователем Cdtnkfyf
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

FRST64.rar

Ссылка на комментарий
Поделиться на другие сайты

 

 


Что необходимо делать дальше
Ждать ответа, у людей есть и работа и свои личные дела, так что нет возможности постоянно сидеть на форумах.
Ссылка на комментарий
Поделиться на другие сайты

Я все понимаю. И прошу прощения, что беспокою всех консультантов. Благодарна, за помощь.

Просто впервые столкнулась с такой проблемой и поэтому переживаю, смогут ли мне помочь.

Всем еще раз спасибо.

Жду дальнейших указаний.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

Не получила от Вас дальнейших указаний, что делать.

После прикрепления архива, было сообщение от модератора, с объяснением, что нужно ждать, и все.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Andrei Butyrchyk
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • specxpilot
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • Alexey.N
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
×
×
  • Создать...