Зашифрованные файлы имеют расширение .ccrpt

11 августа, 2017

10.08.2017 пользователю пришло письмо с вложением, он его открыл. После этого все файлы формата doc,xls,jpg,pdf и некоторые другие зашифровались с расширением ccrpt.

Я пробовал утилиты для расшифровки с сайта касперского, думал что это возможно .crypt, но утилиты пишет что у оригинального и шифрованного файла разные размеры.

Никаких readme шифровальщик не оставил и сообщений об оплате тоже.

К сожалению письма в котором было вложение, загружающее вирус не осталось.

Просьба помочь разобраться что это за вирус и возможно ли восстановить документы.

На компьютере был обнаружен подозрительный процесс в памяти 994C01B0-0C13-4607-B4DF-CA8575B1299E.exe

CollectionLog-2017.08.11-15.16.zip

Изменено 11 августа, 2017 пользователем Sandor
Убрал вирус

11 августа, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\87.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Opera.lnk', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\bqq6e2jeg.job" /F', 0, 15000, true);
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\87.exe', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kvbehcdkkw');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Updater','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteRepair(10);
 ExecuteRepair(22);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

11 августа, 2017

Выполнил рекомендации, высылаю лог

ClearLNK-11.08.2017_16-05.log

CollectionLog-2017.08.11-16.09.zip

11 августа, 2017

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

11 августа, 2017

Результаты сканирования Farbar Recovery Scan Tool

Addition.txt

FRST.txt

Shortcut.txt

11 августа, 2017

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File
Toolbar: HKU\S-1-5-21-1757981266-725345543-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1757981266-725345543-682003330-500 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
2012-11-14 12:01 - 2012-11-14 12:01 - 000002573 _____ () C:\Documents and Settings\Admin\Application Data\Microsoft\198.exe
2012-11-15 10:30 - 2012-11-15 10:30 - 000002573 _____ () C:\Documents and Settings\Admin\Application Data\Microsoft\txt.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe
Task: C:\WINDOWS\Tasks\bqq6e2jeg.job => C:\Documents and Settings\Admin\Local Settings\Temp\3fe40.exe <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings\Application Data:wa [178]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\MANAGERS:com.dropbox.attributes [168]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\Копия графика:com.dropbox.attributes [168]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Этот файл

C:\Documents and Settings\Admin\Рабочий стол\virdata.txt

упакуйте вместе с парой зашифрованных офисных документов и прикрепите к следующему сообщению.

11 августа, 2017

Лог FRST , также в архиве есть оригинал одного шифрованного файла

send.rar

11 августа, 2017

Лог FRST

не прикрепили.

11 августа, 2017

virdata.txt есть в архиве

понял, еще этот лог забыл

Fixlog.txt

11 августа, 2017

virdata.txt есть в архиве

К сожалению, это не то. Подождите некоторое время (хоть и шансов на успех мало).

11 августа, 2017

Понятно что шансов мало , интересно узнать что за разновидность шифровальщика. В интернете не нашел информацию по таким же случаям , чтобы расширение у шифрованных файлов было ccrpt.

PS резервные копии наше всё.

11 августа, 2017

Пока обновите антивирус до KES10

Антивирус Касперского 6.0 для Windows Workstations 6.0.4.1424 уже давно не поддерживается.

Зашифрованные файлы имеют расширение .ccrpt

Рекомендуемые сообщения

GrAV

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

GrAV

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

GrAV

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

GrAV

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

GrAV

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

GrAV

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum