Перейти к содержанию

Зашифрованы файлы .crypted000007


Рекомендуемые сообщения

Baши фaйлы былu зaшифровaны.
Чmобы paсшuфровamь иx, Вaм нeoбxодuмo оmnpaвumь код:
28FB73723F74BF3F89BE|0
на элеkmpонный адрec Novikov.Vavila@gmail.com .
Дaлeе вы пoлучиme все неoбхoдuмые инсmрykции.
Пoпытkи paсшифрoвать самостояmeльнo нe nриведyт нu к чeмy, kрoме безвoзвpaтнoй noтеpu uнфopмацuи.
Ecлu вы вcё жe хотитe nonыmamься, mo nрeдвaрительнo cдeлайте рeзеpвныe kопии файлов, uначе в cлучae
uх измeнения рaсшифрoвка cmанeт нeвозможнoй ни nри kaкux уcловияx.
Еcлu вы нe noлyчилu отвeтa no вышеуказaнному адрeсу в mечeнuе 48 часoв (u mольkо в этом слyчae!),
воспoльзуйmeсь формoй обpаmнoй cвязu. Это мoжно cдeлamь двyмя cпоcoбамu:
1) Скачaйте и yсmaновuте Tor Browser по сcылкe: https://www.torproject.org/download/download-easy.html.en
В aдpеcной cтpokе Tor Browser-a введuте адpeс:
http://cryptsen7fo43rr6.onion/
и нaжмumе Enter. 3агpyзитcя cтpаницa c фopмoй oбрaтнoй cвязи.
2) В любoм бpaузepe пeрeйдuте пo одномy из адpeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Почистил утилитой от касперского и веба.

 

Пытался расшифровать файлы через утилиты от Капсерского. Безрезультатно.

 

Помогите, пожалуйста, восстановить данные.

CollectionLog-2017.07.25-12.52.zip

Ссылка на комментарий
Поделиться на другие сайты

Антивирус отключаете?

 

Выполните скрипт в AVZ (из папки Autologger\AVZ) (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.
архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Антивирус отключаете?

 

Выполните скрипт в AVZ (из папки Autologger\AVZ) (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.
архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

 

 Антивируса нет, есть только защитник Win но в нем служба отключена и не перезапускается.

 

Результат выполнения скрипта прикладываю.

Report.7z

Изменено пользователем kempers
Ссылка на комментарий
Поделиться на другие сайты

Ошибка со сбором отчётом опять из-за той баги AVZ, которую Олег фиксил в полиморфе. А полиморф с апреля не обновлялся :(

Ссылка на комментарий
Поделиться на другие сайты

Теперь полный, спасибо.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Теперь полный, спасибо.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Сканирование выполнил, прикрепляю файлики.

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-3137072349-1656514625-2079113020-1001\...\Run: [MailRuUpdater] => C:\Users\Co-Working 2\AppData\Local\Mail.Ru\MailRuUpdater.exe [4155096 2017-05-19] (Mail.Ru)
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
    SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600"
    CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BC2633333-3AB0-4046-9FA0-D8536AB2920A%7D&gp=811610
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\services
    2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\services
    2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Csrss
    2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Csrss
    2017-07-24 16:48 - 2017-07-24 16:48 - 06220854 _____ C:\Users\Co-Working 2\AppData\Roaming\1162C1B41162C1B4.bmp
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README9.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README8.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README7.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README6.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README5.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README4.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README3.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README2.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README10.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README1.txt
    2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Windows
    2017-07-25 11:45 - 2017-05-31 12:38 - 00000000 ____D C:\Users\Co-Working 2\AppData\Local\callculator
    Task: {8A3115F4-DCCB-4A65-8E4F-4527272D0D4C} - \callculator -> No File <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-3137072349-1656514625-2079113020-1001\...\Run: [MailRuUpdater] => C:\Users\Co-Working 2\AppData\Local\Mail.Ru\MailRuUpdater.exe [4155096 2017-05-19] (Mail.Ru)
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
    SearchScopes: HKU\S-1-5-21-3137072349-1656514625-2079113020-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B22F50BF0-FF0B-4D4E-AD91-B760547773D4%7D&gp=811610
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600"
    CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BC2633333-3AB0-4046-9FA0-D8536AB2920A%7D&gp=811610
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\services
    2017-07-25 10:58 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\services
    2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Csrss
    2017-07-24 16:51 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Csrss
    2017-07-24 16:48 - 2017-07-24 16:48 - 06220854 _____ C:\Users\Co-Working 2\AppData\Roaming\1162C1B41162C1B4.bmp
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README9.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README8.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README7.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README6.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README5.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README4.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README3.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README2.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README10.txt
    2017-07-24 16:48 - 2017-07-24 16:48 - 00004154 _____ C:\Users\Co-Working 2\Desktop\README1.txt
    2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2017-07-24 16:24 - 2017-07-25 11:40 - 00000000 __SHD C:\ProgramData\Windows
    2017-07-25 11:45 - 2017-05-31 12:38 - 00000000 ____D C:\Users\Co-Working 2\AppData\Local\callculator
    Task: {8A3115F4-DCCB-4A65-8E4F-4527272D0D4C} - \callculator -> No File <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

 

Выполнил, но почему то компьюетер не перезагрузился.

 

Файлик во вложении.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Мусор и следы вымогателя очищены. Расшифровки для этого типа, увы, нет.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Мусор и следы вымогателя очищены. Расшифровки для этого типа, увы, нет.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

Отлично, спасибо! 

 

​Очень жаль((( Скажите, пожалуйста, а можно где то следить за информацией, вдруг в ближайшее время появится дешифратор :)

 

Файлик во вложении

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

а можно где то следить за информацией

Например, здесь: https://www.nomoreransom.org/ru/index.html

 

------------------------------- [ HotFix ] --------------------------------

HotFix KB4016871 Внимание! Скачать обновления

HotFix KB4022725 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Web Viewer Pro v.4.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Smart Application Controller v.1.00 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

На заметку: Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dmzhrv
      От dmzhrv
      Добрый день!
       
      Поймали шифровальщик через письмо.
      Файлов важных на компьютере не было, по этому снесли все и работаем дальше.
      Но вот на компьютере где все произошло, была подключена шара как сетевой диск, естественно куда хватило прав под пользователем, все зашифровано.
       
      Понимаю что утилиты для расшифровки нету, но есть некоторые успехи.
       
      Значит что имею на данный момент:
       
      Есть зашифрованный файл, есть оригинал.
      Путем долгих потуг было выяснено различие в 389 байт в конце файла.
       
      Убираем эти 389 байт, скармливаем файл в KasperskyRannoh decryptor tool 1.12.4.13 и вуаля, получаем расшифрованный файл.
      Но есть одно но, имя файла не меняется, расширение тоже не возвращается. Руками дописываем .doc, открываем. Все нормально.
       
       
      Есть у кого какие идеи на счет того как автоматизировать процесс расшифровки?
       
      Лог дешифратора и сами файлы прилагаю.
       
      Второй файл, с 389 байтами не расшифровывает.
       
      лог дешифратора:
       
       
       
      Заявление на мат. помощь.docx
      файлы.zip
    • Дарья Федоровна
      От Дарья Федоровна
      Здравствуйте. 

      Во время составления обращения "правила форума" небыли доступны, прошу прощения если что-то было неверно сделано.

      1) Провела проверку ПК, воспользовавшись Kaspersky Virus Removal Tool 2015. На момент создания запроса на форум вирусов найдено не было.
      2)  После запуска AutoLogger.exe был сформирован файл "CollectionLog-2020.06.16-21.08". 
      3) На ПК в 2018г были зашифрованы файлы. Шифровальщик был запущен после скачивания и открытия файла из письма.
      4) Пробовала самостоятельно воспользоваться сайтом www.nomoreransom.org, на сегодняшнее число после загрузки и заполнении анкеты для подбора дешифровщика происходит сбой (файлы выбираю на 160-124 кб), на экране появляется ответ сайта не существует. С файлом RannohDecryptor.exe не идет работа выходит ошибка файлы разного размера. Не могу сказать с уверенностью подбираю ли верно файлы, ориентируюсь по кб. 
      CollectionLog-2020.06.16-21.08.zip
    • Дэн Бегемотов
      От Дэн Бегемотов
      Здравствуйте! Помогите, пожалуйста, расшифровать файлы
    • LSidex
      От LSidex
      Нужна помощь в расшифровке файлов.
      На одном форуме нашел, что можно написать сюда , да и глядишь подскажут, куда дальше двигаться.
    • an_mvv
      От an_mvv
      Помогите, пожалуйста!
      Шифровальщик crypted000007.
      Зараженные и оригинальные файлы имеют разный размер.
      Зараженные файлы вида:
      jocdiY+amu4D4aHQgjZaz2meVodXJnB56wymyyxNDwA=.8AF64 57B2705B0EBB9FA.crypted000007
      В архиве csrss!.zip сам вирус.
      лежал здесь c:\ProgramData\Windows\csrss.exe
      такой же файл с именем 2c[1].jpg находился во временных файлах IE
      CollectionLog-2019.11.28-08.11.zip
      csrss!.zip
×
×
  • Создать...