Перейти к содержанию

Зашифровались файлы разрешением CRYPTED000007.

nikhop
 Поделиться

Рекомендуемые сообщения

nikhop

nikhop

Опубликовано
Опубликовано
Доброго времени суток! Пришло письмо от Ростелеком по поводу задолженности (и она была, небольшая). В нём была ссылка, рука дёрнулась, открыла... (смотрите вложение Письмо_с_печальной_ссылкой.docx). Там оказалась замаскированная ссылка и текст, вставленный картинкой, видимо чтобы в спам письмо не уходило.

 

Зашифровались документы, счёта, акты, файлы баз 1С бухгалтерия... Резервных копий никогда не делала. Был один архив с базами 1С, сделанный программистом, но и в архиве всё зашифровалось.

 

Во вложении Шифрованные_и_оригинальные_файлы.rar лежит содержимое папки с зашифрованными файлами и 2 оригинальных файла из этой же папки (какой оригинал к какому зашифрованному принадлежит - я не знаю), также есть  текстовый файл с требованиями злоумышленников, которое нашла в корне дисков (см. вложение README1.txt). Само окно не вылазило.

 

Запустили winPE и прогнали CUREIT'ом и KRT, вычистили много дряни. Только потом прочитали, что делать этого было нельзя. Хотя, возможно, они его и не поймали. Пробовали расшифровать продуктами Касперского: xoristdecryptor, rectordecryptor, rannohdecryptor, rakhnidecryptor. Ничего не получилось.

 

Есть ли возможность восстановить файлы, документы, базы 1С? Вся многолетняя работа там. Вся. 

 

--------------------------------

Примерная дата/время шифрования: 19.06.2017 14:00-14:30

----------------------------------------

Конкретно на этом компьютере был установлен Kaspersky Free 16. Он был включен. Но почему-то не углядел это бл... гадство... 

--------------------------------------

В папке C:\ProgramData\Kaspersky Lab\AVP16.Х.Х \SysWHist нет ничего, кроме папки file_cache. И в ней тоже ничего нет.

----------------------------------------

Интересный момент (см. вложение Интересно.png). В этот же день якобы появилась новая версия 16.0.1 в 9:32... Это наверняка может помочь.

 

В архиве Вложение.rar 4 вложения:  

Письмо_с_печальной_ссылкой.docx

Шифрованные_и_оригинальные_файлы.rar

README1.txt

Интересно.png

 

Вложение.rar

nikhop

nikhop

Опубликовано
  • Автор
Опубликовано (изменено)

@Sandor, тут вопрос возник: стоит ли запускать ту же систему, где крутится шифровальщик, или можно из-под winPE собирать?

--------------------------------------------

 

В безопасном режиме сделал.

CollectionLog-2017.06.21-15.38.zip

Изменено пользователем nikhop
Sandor

Sandor

Опубликовано
Опубликовано

В безопасном режиме сделал

Почему? В обычном не запускался? Если запускается, переделайте в обычном.
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

nikhop

nikhop

Опубликовано
  • Автор
Опубликовано

1. Скрипт выполнен. Полученный ответ на файл карантина

Полученный ответ на файл карантина:

Карантин от АВЗ [KLAN-6428703413]
newvirus@kaspersky.com
newvirus@kaspersky.com
сегодня в 16:38
Вам
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nrh

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

2. Отчёт о работе в виде файла ClearLNK-<Дата>.log во вложении.

P.S. занятно, но эта зараза успела зашифровать отчёт о работе ClearLNK, пришлось делать по-новой.

 

3. Повторная диагностика во вложении

 

ClearLNK-21.06.2017_16-28.log

CollectionLog-2017.06.21-16.33.zip

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

успела зашифровать отчёт о работе ClearLNK

Да, был активен, больше нет.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
nikhop

nikhop

Опубликовано
  • Автор
Опубликовано (изменено)

Да, был активен, больше нет.

Это сразу понятно стало при загрузке ) Быстренько запускаться начал, ЦП никто не грузит более.

 

Отчет: 

AdwCleanerS0.txt

Изменено пользователем nikhop
nikhop

nikhop

Опубликовано
  • Автор
Опубликовано (изменено)

@Sandor, подскажите:

1. Какова вероятность дешифровки файлов?

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

 

П.С. Забыл спасибо сказать за помощь в уничтожении дряни. СПАСИБО!  :gooda:

Изменено пользователем nikhop
Sandor

Sandor

Опубликовано
Опубликовано

1. Какова вероятность дешифровки файлов?

Очень мала.

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

Возможно был не обновлен или в тот момент был выключен.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

nikhop

nikhop

Опубликовано
  • Автор
Опубликовано

Очень мала.

 

Печаль.

 

Возможно был не обновлен или в тот момент был выключен.

 

Выяснил, что во Free нет мониторинга активности... Если бы был КИС, он бы моментально словил эту шнягу. 

 

Совет из ТП Kaspersky (ну и от меня теперь):

ЮЗАЙТЕ ПРОДУКТЫ С МОНИТОРИНГОМ АКТИВНОСТИ, ШИФРАТОР В ТАКОМ СЛУЧАЕ ПОЙМАТЬ ПРАКТИЧЕСКИ НЕВОЗМОЖНО.

 

@Sandor, Вам Спасибо большое, я все шифрованное упаковал и сложил до лучших времен (надеюсь на лучшее) и переснёс всё к чертям, настроив бэкапы удалённые на облако с паролированием и с атрибутом для чтения, плюс поставил KIS.

Sandor

Sandor

Опубликовано
Опубликовано

А где результаты двух пунктов из моего предыдущего сообщения?

nikhop

nikhop

Опубликовано
  • Автор
Опубликовано (изменено)
А где результаты двух пунктов из моего предыдущего сообщения?

 

Переснёс систему ещё вчера, какой смысл на чистой системе эти пункты исполнять? Или есть?

Изменено пользователем nikhop
Sandor

Sandor

Опубликовано
Опубликовано

Переснёс систему

Подразумевается - переустановил? Если так, то не имеет смысла. Но не имела смысла и переустановка.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rsamig
      Novikov.Vavila@gmail.com зашифровал все файлы
      Автор rsamig
      KVRT и CureIT пролечили, но повторные запуски снова находят вирус
       
      README.TXT, оставленный автором вируса:
       
      Вашu файлы были зашuфровaны.
      Чmoбы pасшuфpoвamь иx, Baм нeобходuмо отпpaвuть кoд:
      1FC94EE8797EC1B684FB|0
      на элekтронный адpеc Novikov.Vavila@gmail.com .
      Дaлеe вы nолyчите вcе нeoбходимыe uнструkции.
      Поnытku paсшифровaть самocmoяmeльнo не пpивeдут нu к чемy, kрoмe бeзвозвpaтнoй поmери uнфоpмацuu.
      Ecлu вы всё жe xomuтe nonыmamьcя, mo nредвapитeльнo cдeлайme pезeрвныe кoпuu файлов, иначе в cлyчаe
      ux uзмeненuя расшuфpoвka cmанeт нeвозмoжной ни пpи kaкиx yсловuях.
      Еcли вы нe получuли отвema nо вышеyказаннoмy aдрeсy в meчeние 48 чaсов (и только в этoм случае!),
      вoсnользуйтecь фopмoй oбратной cвязи. Эmо мoжнo cдeлaть двумя cnоcобамu:
      1) Сkaчайте и yсmaновuте Tor Browser no cсылкe: https://www.torproject.org/download/download-easy.html.en
      В aдpеснoй стpokе Tor Browser-a ввeдume адрeс:
      http://cryptsen7fo43rr6.onion/
      u нажмuте Enter. 3arрузиmcя cmрaнuцa с фоpмой обpатнoй связu.
      2) В любом бpаyзеpe пеpейдитe пo однoму uз адрeсoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
    • Олег Почетовский
      Зашифрованы файлы шифровальщиков crypted000007
      Автор Олег Почетовский
      Методист открыл письмо с незнакомого адреса. После файлы зашифровались и получили расширение .crypted000007. Помогите в расшифровке файлов. patch21po@yandex.ru Олег.
      CollectionLog-2018.01.18-18.41.zip
    • mcluch
      Шифровальщик расширение .crypted000007
      Автор mcluch
      Доброго времени суток! Вирус зашифровал часть файлов на компьютере. Стали они с расширением .crypted000007 
      Так же большая часть файлов переименовались в набор символов. Пару зараженных файлов прикрепляю
      При проверке антивирусом Касперского, а так же Dr. Web ничего не обнаружилось
      Файл автологгера прикреплен к сообщению
      Просим помощи во восстановлению файлов
         
      CollectionLog-2018.01.11-08.02.zip
      зараженые файлы.7z
    • Artyom07
      Словил шифровальщика файлов
      Автор Artyom07
      Здравствуйте! Словил шифровальщика 29.11.19, прикрепляю лог. Подскажите есть шансы на успех?
      CollectionLog-2019.11.30-10.22.zip
    • an_mvv
      Помогите с расшифровкой .crypted000007
      Автор an_mvv
      Помогите, пожалуйста!
      Шифровальщик crypted000007.
      Зараженные и оригинальные файлы имеют разный размер.
      Зараженные файлы вида:
      jocdiY+amu4D4aHQgjZaz2meVodXJnB56wymyyxNDwA=.8AF64 57B2705B0EBB9FA.crypted000007
      В архиве csrss!.zip сам вирус.
      лежал здесь c:\ProgramData\Windows\csrss.exe
      такой же файл с именем 2c[1].jpg находился во временных файлах IE
      CollectionLog-2019.11.28-08.11.zip
      csrss!.zip
×
×
  • Создать...