Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованные файлы имеют расширение .ccrpt

GrAV
 Поделиться

Рекомендуемые сообщения

GrAV

GrAV

Опубликовано
Опубликовано (изменено)

10.08.2017 пользователю пришло письмо с вложением, он его открыл. После этого все файлы формата doc,xls,jpg,pdf и некоторые другие зашифровались с расширением ccrpt.

Я пробовал утилиты для расшифровки с сайта касперского, думал что это возможно .crypt, но утилиты пишет что у оригинального и шифрованного файла разные размеры.

Никаких readme  шифровальщик не оставил и сообщений об оплате тоже.

К сожалению письма в котором было вложение, загружающее вирус не осталось.

Просьба помочь разобраться что это за вирус и возможно ли восстановить документы.

 На компьютере был обнаружен подозрительный процесс в памяти 994C01B0-0C13-4607-B4DF-CA8575B1299E.exe

CollectionLog-2017.08.11-15.16.zip

Изменено пользователем Sandor
Убрал вирус
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\87.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Opera.lnk', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\bqq6e2jeg.job" /F', 0, 15000, true);
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\87.exe', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kvbehcdkkw');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Updater','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteRepair(10);
 ExecuteRepair(22);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
Toolbar: HKU\S-1-5-21-1757981266-725345543-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1757981266-725345543-682003330-500 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
2012-11-14 12:01 - 2012-11-14 12:01 - 000002573 _____ () C:\Documents and Settings\Admin\Application Data\Microsoft\198.exe
2012-11-15 10:30 - 2012-11-15 10:30 - 000002573 _____ () C:\Documents and Settings\Admin\Application Data\Microsoft\txt.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe
Task: C:\WINDOWS\Tasks\bqq6e2jeg.job => C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings\Application Data:wa [178]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\MANAGERS:com.dropbox.attributes [168]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\Копия графика:com.dropbox.attributes [168]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Этот файл

C:\Documents and Settings\Admin\Рабочий стол\virdata.txt

упакуйте вместе с парой зашифрованных офисных документов и прикрепите к следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

virdata.txt есть в архиве

К сожалению, это не то. Подождите некоторое время (хоть и шансов на успех мало).
GrAV

GrAV

Опубликовано
  • Автор
Опубликовано

Понятно что шансов мало , интересно узнать что за разновидность шифровальщика. В интернете не нашел информацию по таким же случаям , чтобы расширение у шифрованных файлов было ccrpt.

PS резервные копии наше всё.

Sandor

Sandor

Опубликовано
Опубликовано

Пока обновите антивирус до KES10

Антивирус Касперского 6.0 для Windows Workstations 6.0.4.1424 уже давно не поддерживается.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Радий Логачёв
      Важные файлы зашифрованны
      Автор Радий Логачёв
      Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."
      CollectionLog-2015.07.09-00.38.zip
    • satantime
      Поймали шифратор
      Автор satantime
      На пк словили шифратор, заблокировался доступ к текстовым файлам, фото
      CollectionLog-2015.07.03-16.19.zip
    • sitnik762
      Добрый день!
      Автор sitnik762
      Поймал месяц назад шифровальщика! Из почты с темой арбитражный суд. Половина файлов на ПК превратились в неизвестный формат...
    • bvitaliyy
      остановление доступа файлов pdf после заражения трояном
      Автор bvitaliyy
      Я должен был убрать троян из моего ноутбука . После нескольких часов работы и сканирования вредоносного ПО, я избавился от этой проблемы и все, казалось, будет хорошо.... тогда я понял, что я был неправ. Я понял, «некоторые» из моих глинобитных файлов на моем жестком диске не могут быть открыты и файлы повреждены и выдают ошибки. Я знаю, что эти файлы являются действительными и я их  использовал (по крайней мере до вируса)У меня погорело очень много важных мне файлов pdf, я всегда пересохраняю док файлы в pdf.Для некоторых файлов у меня есть резервные копии, но для некоторых я не делаю. Так нужно найти способ восстановить их.
    • CadCopy
      Зашифрованные файлы (.green)
      Автор CadCopy
      Здравствуйте. 
      Помогите, пожалуйста, расшифровать файлы. 
      Был скачан и запущен файл flashplayer18axau_hd_install.exe (в целях безопасности не прилагаю ссылку)
      В нем, судя по всему, был троян.
      Большинство файлов doc/pdf, которые были в папке с общим доступом, были зашифрованы (формат файлов стал .green) 
      Текст "послания" 
       
      "Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
      В ТЕМЕ письма УКАЖИТЕ ВАШ ID:2456095539   Убедительная просьба не пытаться расшифровать файлы сторонними инструментами. Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет. Обращения принимаются до 20.06.2015 После 20.06.2015 любые обращения будут игнорироваться.   Письма обрабатываются автоматической системой." Проведена проверка ПК с помощью Kaspersky Virus Removal Tool 2015. На компьютере установлен Kaspersky Endpoint Security 10. Прилагаю все нужные файлы.
       
      Addition.txt
      FRST.txt
      CollectionLog-2015.06.25-14.41.zip
×
×
  • Создать...