Перейти к содержанию

Прошу помочь с расшифровкой файлов, зашифрованных crypt

andreas.k2017
 Share

Рекомендуемые сообщения

andreas.k2017 Новичок

andreas.k2017

Опубликовано
Опубликовано

Добрый день !

 

На компьютере стоял NOD32. После получения заражённого письма файлы были зашифрованы шифровальщиком (базы, docx и xlsx файлы, картинки). 

 

Проверка DrWeb CureIT проведена (найдены и вылечены troyan.encoder). Логи прилагаю.

 

Компьютер будет переведён на антивирусную защиту Касперского.

 

С уважением, Андрей.


Прилагаю в архиве два зашифрованных файла и файл how_to_back_files.

 

С уважением, Андрей

CollectionLog-2017.08.13-14.17.zip

зашифрованные.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это GlobeImposter2 и с расшифровкой помочь не сможем.

 

Будет простая зачистка следов вирусов.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Расширения

NetFilterPRO

PromCodes

удалите в Опера.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2336160649-732249885-765907288-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1435122221&z=37f197afb2e6668ca9e3f45gez3c7w1g0ocobo0o8o&from=face&uid=SanDiskXSD6SB1M128G1022I_142981403525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1435122221&z=37f197afb2e6668ca9e3f45gez3c7w1g0ocobo0o8o&from=face&uid=SanDiskXSD6SB1M128G1022I_142981403525
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1435122221&z=37f197afb2e6668ca9e3f45gez3c7w1g0ocobo0o8o&from=face&uid=SanDiskXSD6SB1M128G1022I_142981403525
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1435122221&z=37f197afb2e6668ca9e3f45gez3c7w1g0ocobo0o8o&from=face&uid=SanDiskXSD6SB1M128G1022I_142981403525
HKU\S-1-5-21-2336160649-732249885-765907288-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1435122221&z=37f197afb2e6668ca9e3f45gez3c7w1g0ocobo0o8o&from=face&uid=SanDiskXSD6SB1M128G1022I_142981403525&q={searchTerms}
HKU\S-1-5-21-2336160649-732249885-765907288-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1435122221&z=37f197afb2e6668ca9e3f45gez3c7w1g0ocobo0o8o&from=face&uid=SanDiskXSD6SB1M128G1022I_142981403525
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User2\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User2\Downloads\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User2\Documents\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User2\Desktop\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User2\AppData\Local\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User\Downloads\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User\Documents\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\User\Desktop\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\Users\how_to_back_files.html
2017-08-10 15:03 - 2017-08-10 15:03 - 000004376 _____ C:\ProgramData\how_to_back_files.html
Task: {0049F3E0-1293-4634-AD48-EE8FF40D4F59} - System32\Tasks\{8A88C3FD-3D23-7456-856D-FBFE1B8687B2} => C:\ProgramData\{4C1069EC-FBBB-DE47-A150-DC7BC9C26CFA}\604E3975-D7E5-8EDE-4C83-4EE05BF2BD3F.exe <==== ATTENTION
Task: {0114BABE-C5B2-4014-BCCB-C0D823D3728B} - System32\Tasks\{ADFBC14E-1A50-76E5-E65E-0EA493C34E3E} => C:\ProgramData\{C9B98F3E-7E12-3895-F45F-D488C7514A57}\BDAA854B-0A01-32E0-C7EE-2ECA7BCF33B7.exe <==== ATTENTION
Task: {1C13A000-2D98-4B80-BD58-6EC068A8C971} - System32\Tasks\{28029CB9-9FA9-2B12-71A1-958935DFC31B} => C:\ProgramData\{839AA4FB-3431-1350-4083-CE2A949EB742}\0904AAAC-BEAF-1D07-6607-F862E5FFF647.exe <==== ATTENTION
Task: {2945C1BE-ABDA-4A1E-80FA-06F4FEEAA828} - System32\Tasks\{8BCDC2EC-3C66-7547-8A50-01A09C97898C} => C:\ProgramData\{02AB31DD-B500-8676-A2AB-739D6F42070C}\CBD4D2EB-7C7F-6540-CDE1-875DBF8AAFC0.exe <==== ATTENTION
Task: {43F37761-8EB6-493F-8933-CEEE402CFBAE} - System32\Tasks\{616187A4-D6CA-300F-771A-A238468120D3} => C:\ProgramData\{29DFA50F-9E74-12A4-8469-FF11E9383D24}\E7487D32-50E3-CA99-FD1B-195BBECD6CAF.exe <==== ATTENTION
Task: {48B45B2F-6BBC-48D1-B66A-5A93A6DFE780} - System32\Tasks\{89A29FB2-3E09-2819-18A3-9B16BA389720} => C:\ProgramData\{EC1678A0-5BBD-CF0B-0561-74CF46EEBF77}\FAFE526E-4D55-E5C5-B75D-7D19103C0FB6.exe <==== ATTENTION
Task: {4D15BAC7-BD6B-4154-9C41-099FEAD2F2D4} - System32\Tasks\{1398B108-A433-06A3-3FD6-03CD4D39E97A} => C:\ProgramData\{4676EF95-F1DD-583E-9E8D-662C442151FA}\174C325E-A0E7-85F5-B381-12BEA60B6E44.exe <==== ATTENTION
Task: {5037CAC1-8986-4FA3-934C-3C5F1F54CDAE} - System32\Tasks\{D9D702D8-21E7-37E9-DA61-2A63FD0B2F3A} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\a653034d\c6c92512.dll" <==== ATTENTION
Task: {52EBA95C-275D-49D5-9D13-BDDC2AA6DCEE} - System32\Tasks\{9115E12E-26BE-5685-0A13-32D8BD2BB9B7} => C:\ProgramData\{278A2F53-9021-98F8-673D-951F20E83E9A}\AEE2DA22-1949-6D89-DD7A-6B186EE0F8F8.exe <==== ATTENTION
Task: {5E19D000-7A08-4267-A25B-016FEA8C60F1} - System32\Tasks\{F3520D08-44F9-BAA3-A68B-0A917E17C489} => C:\ProgramData\{0BB11F1C-BC1A-A8B7-E16A-8493C88457C7}\7FBFD418-C814-63B3-886A-5417224B67CB.exe <==== ATTENTION
Task: {776B879F-5DB2-42EB-8FD2-E69F37064281} - System32\Tasks\{D997E378-6E3C-54D3-B332-D80DFD81ABE8} => C:\ProgramData\{369DF865-8136-4FCE-AC23-9E6FE34BEBF5}\50E1DBEC-E74A-6C47-7393-4948489A5667.exe <==== ATTENTION
Task: {7EA5DECD-4558-4178-BC39-0892274697F3} - System32\Tasks\{E25D23C1-55F6-946A-6D40-3E0A40437A74} => C:\ProgramData\{20E65608-974D-E1A3-91E7-3843E5F1FA06}\243DEAF4-9396-5D5F-F04C-7302CC8A6BDC.exe <==== ATTENTION
Task: {A59E6096-06F3-4D79-8A32-5D56B18CFB68} - System32\Tasks\{1DF04A60-AA5B-FDCB-8040-AEEE34AEEF5E} => C:\ProgramData\{5C2E6940-EB85-DEEB-D245-91158817245A}\32739180-85D8-262B-AC49-3C2056D5FF8A.exe <==== ATTENTION
Task: {B30DD7CB-1DD2-4670-9C68-B3D4FDC0C987} - System32\Tasks\{1D2618FB-AA8D-AF50-6753-180CE39AA9EB} => C:\ProgramData\{68963B53-DF3D-8CF8-F9E5-893C94D54F23}\FAE4BE80-4D4F-092B-427A-F2849C366547.exe <==== ATTENTION
Task: {BEFE6D73-BAF3-444F-BC57-48F94A8C42BF} - System32\Tasks\{F90D2FD8-4EA6-9873-711D-C7954960FFA7} => C:\ProgramData\{38AD6A05-8F06-DDAE-49F7-AD699E12D46C}\4F85DFD2-F82E-6879-012D-FFBED8CFFDA4.exe <==== ATTENTION
Task: {C97E5448-3DF9-44AC-9238-7182A7A32BFB} - System32\Tasks\{3A4B0FC0-8DE0-B86B-8847-392CD7775501} => C:\ProgramData\{51F3917A-E658-26D1-D4FE-CAEB01EFA1A0}\C69FAFE0-7134-184B-6AEA-1C0A06349858.exe <==== ATTENTION
Task: {CA55590A-C6BE-4C64-BD18-A49C9478561C} - System32\Tasks\{3FA3C024-8808-778F-3538-64287E3EFCBC} => C:\ProgramData\{EB94F2F6-5C3F-455D-3B92-76F54839D2CD}\12EEA55E-A545-12F5-7266-DB3296871044.exe <==== ATTENTION
Task: {D39ADB90-4859-4051-8158-995EDD22C61B} - System32\Tasks\{FFDB332C-4870-8487-DF03-1F6460C3DA95} => C:\ProgramData\{C4A2DFD8-7309-6873-0B28-FDB4D43839E1}\92DDC3F9-2576-7452-C189-D3E505E601C5.exe <==== ATTENTION
Task: {D89670FD-6A15-40EB-B5A9-56AB38034DAF} - System32\Tasks\{4EF7FB3C-F95C-4C97-7004-EE3786F167BE} => C:\ProgramData\{AEA14495-190A-F33E-FA87-414A08DA892F}\6940B20A-DEEB-05A1-349D-746C012F9121.exe <==== ATTENTION
Task: {DEED60EA-62B1-432E-A386-398860450CB5} - System32\Tasks\{EFE2A459-5849-13F2-78F5-B8C05D6B00BF} => C:\ProgramData\{0A9049C5-BD3B-FE6E-CE59-112ED73F5D51}\7ABEFD5C-CD15-4AF7-2B27-4329977C1EDC.exe <==== ATTENTION
Task: {E3FD3856-4AF1-4134-B435-2ADD8B13A505} - System32\Tasks\{DD2EE3C2-6A85-5469-F8DE-AF4B59457084} => C:\ProgramData\{A392DA61-1439-6DCA-5E59-1E97B20CB700}\83ADBFD5-3406-087E-5046-017CD5D71FA6.exe <==== ATTENTION
Task: {E6E36019-74AC-432D-AA8D-EBA9C113A773} - System32\Tasks\{88A2F70C-3F09-40A7-D97D-4D8EBAA82883} => C:\ProgramData\{222CC3F1-9587-745A-7F0D-F970361B1720}\BAF24A63-0D59-FDC8-E8FD-8997DFA439E5.exe <==== ATTENTION
Task: {F7D5D68A-DCE4-4576-A68F-9A6C5BE2547A} - System32\Tasks\{C0C6E6EA-776D-5141-BF0C-4D08098FA375} => C:\ProgramData\{ECCD9F9C-5B66-2837-0D91-32E5A31F3C47}\3FF7C109-885C-76A2-4E41-89201929661A.exe <==== ATTENTION
Task: {FB0A7C50-7BF2-4D39-87A2-FED66C272E31} - System32\Tasks\{CDF935BB-7A52-8210-0111-5908A5BD410C} => C:\ProgramData\{08B2E7FE-BF19-5055-2F18-66EB6610424D}\B9932DA9-0E38-9A02-73A4-BA18C7D87053.exe <==== ATTENTION
Task: {FCC155B3-B39B-4CD0-9976-0955B8862480} - System32\Tasks\{8509E47E-32A2-53D5-9399-BF6EDF23C32F} => C:\ProgramData\{1293F0C4-A538-476F-CBDB-3124EDDAAD8D}\4E5E33F7-F9F5-845C-697E-D8780CA07759.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Abafebyo => ""="service"
AlternateDataStreams: C:\Users\User:id [32]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • andreevich
      Зашифровали данные fairexchange@qq.com.exe
      От andreevich
      Добрый день, есть ли возможность расшифровать эти файлы? Шифровальщик работал через запущенный exe с рабочего стола. Данные farbar сняты с переустановленной системы. В архиве есть пара файла с шифрованием и без (вытянули из базы 1С).
      Addition.txt FRST.txt взлом.7z
    • damned2000
      Я - очередная жертва Дракоши (blackdragon43@yahoo.com)
      От damned2000
      Попался на шифровальщик Дракошу (blackdragon43@yahoo.com). На компе стоял KES10 лицензия, но не помогло (есть подозрение, что злоумышленник действовал через RDP). После обнаружения был просканирован диск через KRD и удалены все угрозы. Далее смог зайти в систему, но все файлы оказались зашифрованы. После изучения правил создания темы, прошелся с помощью Autologger и FarBar. Логи обеих программ во вложении + примеры зашифрованных документов (.DOC, .XLS, .PPT, картинки).
      Тешу себя мыслью о том, что кому-то уже помогли вернуть все в исходный вид. Внешний диск для бэкапов семейного архива тоже пострадал
      Заранее спасибо
      _CRYPTED_sample.zip
      farbarlogs_20190910.zip
      CollectionLog-2019.05.10-23.17.zip
    • klm792
      Как расшифровать файлы *.
      От klm792
      Сегодня утром увидел, что в облачном накопителе все файлы стали отображаться с расширением *.crypt и имеют подобный вид: 9905_01873.jpg.[iyieg9eB@secmail.pro].CRYPT Причём и картинки и видео и воровские документы. Есть ли какое-либо лечение? Можно ли вернуть файлы обратно?
    • berestandrey
      зашифровали файлы кроме винды *.crypt
      От berestandrey
      Вночь были зашифрованы все фалы кроме виндовы, из текущих дешифраторов нчего не помогло
      зашифрованный файл ostatki_all.txt.zip
      файл лога frs FRST.zip
      текстовый файл с инструкцией как получить дешифратор от вымагателей how_to_back_files.zip

      Необходжимые действия по удалению вируса выполнил также. 
      При анализе зашифрованных файлов обнаружен что они не полностью зашифрованны, частично в них есть та инфа которая была до шифрования. 
       
       
    • ddima84
      Зашифровали комп..
      От ddima84
      Сегодня около 10-00 комп бухгалтера был зашифрован, утилиты не помогли. Прошу помощи..
      CollectionLog-2017.12.06-12.53.zip
      KVRT.zip
×
×
  • Создать...