Зашифрованы файлы .crypted000007

[kempers]

Baши фaйлы былu зaшифровaны.
Чmобы paсшuфровamь иx, Вaм нeoбxодuмo оmnpaвumь код:
28FB73723F74BF3F89BE|0
на элеkmpонный адрec Novikov.Vavila@gmail.com .
Дaлeе вы пoлучиme все неoбхoдuмые инсmрykции.
Пoпытkи paсшифрoвать самостояmeльнo нe nриведyт нu к чeмy, kрoме безвoзвpaтнoй noтеpu uнфopмацuи.
Ecлu вы вcё жe хотитe nonыmamься, mo nрeдвaрительнo cдeлайте рeзеpвныe kопии файлов, uначе в cлучae
uх измeнения рaсшифрoвка cmанeт нeвозможнoй ни nри kaкux уcловияx.
Еcлu вы нe noлyчилu отвeтa no вышеуказaнному адрeсу в mечeнuе 48 часoв (u mольkо в этом слyчae!),
воспoльзуйmeсь формoй обpаmнoй cвязu. Это мoжно cдeлamь двyмя cпоcoбамu:
1) Скачaйте и yсmaновuте Tor Browser по сcылкe: https://www.torproject.org/download/download-easy.html.en
В aдpеcной cтpokе Tor Browser-a введuте адpeс:
http://cryptsen7fo43rr6.onion/
и нaжмumе Enter. 3агpyзитcя cтpаницa c фopмoй oбрaтнoй cвязи.
2) В любoм бpaузepe пeрeйдuте пo одномy из адpeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Почистил утилитой от касперского и веба.

 

Пытался расшифровать файлы через утилиты от Капсерского. Безрезультатно.

 

Помогите, пожалуйста, восстановить данные.

CollectionLog-2017.07.25-12.52.zip

[Sandor]

Здравствуйте!

 

Архив не полный, переделайте, пожалуйста.

[kempers]

Здравствуйте!

 

Архив не полный, переделайте, пожалуйста.

 

Простите. Проверьте, пожалуйста вот этот архив.

CollectionLog-2017.07.25-15.10.zip

[Sandor]

Антивирус отключаете?

 

Выполните скрипт в AVZ (из папки Autologger\AVZ) (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

[kempers]

Антивирус отключаете?

 

Выполните скрипт в AVZ (из папки Autologger\AVZ) (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

 

 Антивируса нет, есть только защитник Win но в нем служба отключена и не перезапускается.

 

Результат выполнения скрипта прикладываю.

Report.7z

Изменено 25 июля, 2017 пользователем kempers

[regist]

Ошибка со сбором отчётом опять из-за той баги AVZ, которую Олег фиксил в полиморфе. А полиморф с апреля не обновлялся

[Sandor]

@kempers, запустите, пожалуйста, Autologger из корня диска C:\

[kempers]

@kempers, запустите, пожалуйста, Autologger из корня диска C:\

 

Прикрепил результат Autologger при запуске из корня диска C:\

CollectionLog-2017.07.25-16.15.zip

[Sandor]

Теперь полный, спасибо.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[kempers]

Теперь полный, спасибо.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Сканирование выполнил, прикрепляю файлики.

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-3137072349-1656514625-2079113020-1001\...\Run: [MailRuUpdater] => C:\Users\Co-Working 2\AppData\Local\Mail.Ru\MailRuUpdater.exe [4155096 2017-05-19] (Mail.Ru)
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
  SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
  CHR HomePage: Default -> inline.go.mail.ru
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600"
  CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BC2633333-3AB0-4046-9FA0-D8536AB2920A%7D&gp=811610
  CHR DefaultSearchKeyword: Default -> mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\services
  2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Csrss
  2017-07-24 16:48 - 2017-07-24 16:48 - 06220854 _____ C:\Users\Co-Working 2\AppData\Roaming\1162C1B41162C1B4.bmp
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README9.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README8.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README7.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README6.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README5.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README4.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README3.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README2.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README10.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README1.txt
  2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Windows
  2017-07-25 11:45 - 2017-05-31 12:38 - 00000000 ____D C:\Users\Co-Working 2\AppData\Local\callculator
  Task: {8A3115F4-DCCB-4A65-8E4F-4527272D0D4C} - \callculator -> No File <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[kempers]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-3137072349-1656514625-2079113020-1001\...\Run: [MailRuUpdater] => C:\Users\Co-Working 2\AppData\Local\Mail.Ru\MailRuUpdater.exe [4155096 2017-05-19] (Mail.Ru)
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
  SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
  CHR HomePage: Default -> inline.go.mail.ru
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600"
  CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BC2633333-3AB0-4046-9FA0-D8536AB2920A%7D&gp=811610
  CHR DefaultSearchKeyword: Default -> mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\services
  2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Csrss
  2017-07-24 16:48 - 2017-07-24 16:48 - 06220854 _____ C:\Users\Co-Working 2\AppData\Roaming\1162C1B41162C1B4.bmp
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README9.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README8.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README7.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README6.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README5.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README4.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README3.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README2.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README10.txt
  2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README1.txt
  2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Windows
  2017-07-25 11:45 - 2017-05-31 12:38 - 00000000 ____D C:\Users\Co-Working 2\AppData\Local\callculator
  Task: {8A3115F4-DCCB-4A65-8E4F-4527272D0D4C} - \callculator -> No File <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

 

Выполнил, но почему то компьюетер не перезагрузился.

 

Файлик во вложении.

Fixlog.txt

[Sandor]

Мусор и следы вымогателя очищены. Расшифровки для этого типа, увы, нет.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[kempers]

Мусор и следы вымогателя очищены. Расшифровки для этого типа, увы, нет.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

 

Отлично, спасибо! 

 

​Очень жаль((( Скажите, пожалуйста, а можно где то следить за информацией, вдруг в ближайшее время появится дешифратор

 

Файлик во вложении

SecurityCheck.txt

[Sandor]

а можно где то следить за информацией

Например, здесь: https://www.nomoreransom.org/ru/index.html

 

------------------------------- [ HotFix ] --------------------------------

HotFix KB4016871 Внимание! Скачать обновления

HotFix KB4022725 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Web Viewer Pro v.4.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Smart Application Controller v.1.00 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

На заметку: Рекомендации после удаления вредоносного ПО