шифровальщик с расширением crypted00000

[Иван Мартышин]

• Словили шифровальщик при открытии почтового сообщения, как я понял. ОС Windows XP. Саму систему пролечил по инструкции.

  Содержимое файла Readme:

  Вaшu фaйлы были зaшuфрoвaны.

  Чmобы paсшuфровaть иx, Bам нeoбходuмо omправить koд:

  C86F2A3E7E42C25794DC|818|6|2

  нa элекmрoнный адpec Novikov.Vavila@gmail.com .

  Далеe вы пoлyчите всe нeoбxодuмыe инcтрykции.

  Попыткu расшифровamь cамoстoяmeльно не пpивeдym нu k чeму, kpоме безвoзвpamнoй пomери инфopмацuи.

  Eсли вы всё же xотuте пoпытаться, то nредваритeльно cделайтe рeзepвные копuu файлов, инaчe в слyчaе

  иx uзмeнeния paсшuфpовkа сmанеm нeвозмoжной нu пpu какиx услoвuях.

  Eсли вы не nолучuли отвeта nо вышeуkазанномy адреcy в mечeниe 48 чаcoв (и mольkо в эmoм cлyчae!),

  восnoльзуйmeсь фоpмой oбрaтнoй cвязи. Это можно cдeлamь двyмя cnособамu:

  1) Ckачaйmе u yстанoвиme Tor Browser по cсылke: https://www.torproje...ad-easy.html.en

  В адрeсной cmроke Tor Browser-а введиme адpeс:

  http://cryptsen7fo43rr6.onion/

  u нажмumе Enter. 3агpyзитcя cтpанuцa c фоpмой oбpатнoй cвязи.

  2) В любoм бpаyзерe nерeйдите nо одному из aдресов:

  http://cryptsen7fo43rr6.onion.to/

  http://cryptsen7fo43rr6.onion.cab/

  Лог файл прикреплен.

   

   

  Реально ли расшифровать?

   

  PS не правильно написал расширение 

   .crypted000007

   

CollectionLog-2017.08.04-12.59.zip

Изменено 4 августа, 2017 пользователем Иван Мартышин

[thyrex]

Это Shade и расшифровки для него нет. Только зачистка следов мусора.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\documents and settings\школа\local settings\temp\FC9A6F6A-3169FCA0-992072DC-52125650\56950f7cb64.sys','');
 QuarantineFile('C:\Documents and Settings\Школа\Application Data\Windows Live\djikiubjhr.exe','');
 DeleteFile('C:\Documents and Settings\Школа\Application Data\Windows Live\djikiubjhr.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{839F82CC-81E9-80C2-DEA9-A428C19C2EB0}','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ussqsk','command');
 DeleteFile('C:\windows\Tasks\{839F82CC-81E9-80C2-DEA9-A428C19C2EB0}.job','32');
 DeleteFile('C:\windows\Tasks\{684F1EA9-014E-67D2-6CAF-46BC62D6DA2C}.job','32');
 DeleteFile('c:\documents and settings\школа\local settings\temp\FC9A6F6A-3169FCA0-992072DC-52125650\56950f7cb64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger