Помогите с кодом дешифровки!!!

[crozzle]

Парни! Помогите с кодом дешифровки!!!

Your personal ID

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

All your files have been encrypted due to a security problem with your PC.

To restore all your files, you need a decryption.

If you want to restore them, write us to the e-mail plingyfiles@aol.com.

Or you can write us to the e-mail plingyfiles@aol.com.

In a letter to send Your personal ID (see In the beginning of this document).

You have to pay for decryption in Bitcoins.

The price depends on how fast you write to us.

After payment we will send you the decryption tool that will decrypt all your files.

In the letter, you will receive instructions to decrypt your files!

In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds.

HURRY! Your personal code for decryption stored with us only 72 HOURS!

Our tech support is available 24 \ 7

• Do not delete: Your personal ID
• Write on e-mail, we will help you!

Free decryption as guarantee

Before paying you can send to us up to 3 files for free decryption.

Please note that files must NOT contain valuable information and their total size must be less than 10Mb.

When the transfer is confirmed, you will receive interpreter files to your computer.

After start-interpreter program, all your files will be restored.

Attention!

• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders are not compatible with other users of your data, because each user's unique encryption key 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

Прикрепляю логи Autologger и зашифрованный файл

CollectionLog-2017.08.28-11.28.zip

filecrypt.zip

Изменено 28 августа, 2017 пользователем crozzle

[SQ]

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

O4 - HKCU\..\Run: [{F39SN97D-K73M-YLR9-1I59-YW9R799VKF}] C:\Users\Naphanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{F39SN97D-K73M-YLR9-1I59-YW9R799VKF}.exe (file missing)
O4 - HKU\S-1-5-21-2733619136-285398329-4292103294-1109\..\RunOnce: [CertificatesCheck] C:\Users\Public\csrss.exe  (User 'vera3103')
O4 - User Startup: explorer.lnk    ->    C:\ProgramData\Windows\svchost.vbs

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Windows\svchost.vbs','');
 QuarantineFile('C:\Windows\system32\MtxHotPlugService.exe','');
 QuarantineFile('C:\Users\Public\csrss.exe','');
 DeleteFile('C:\Users\Public\csrss.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2733619136-285398329-4292103294-1109\Software\Microsoft\Windows\CurrentVersion\RunOnce','CertificatesCheck');
 DeleteFile('C:\ProgramData\Windows\svchost.vbs','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[crozzle]

Спасибо за ответ!
KLAN-6722751139

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
svchost.vbs - Trojan.VBS.BitMin.aa
csrss.exe - Trojan-Ransom.Win32.Purgen.ld

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From
Sent: 8/28/2017 1:27:00 PM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла


Выполняется запрос хэлпера

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[crozzle]

Вот они

Парни! Сколько примерно ждать, чтоб лишний раз не надоедать?

Нашёл ещё кое-что! C:\Users\Naphanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{F39SN97D-K73M-YLR9-1I59-YW9R799VKF}.bmp
 с требование о выкупе данных 

Addition.txt

FRST.txt

[regist]

@crozzle, люди тут отвечают в свободное работы и других дел время. Так что имейте терпение и ждите. Как у @SQ, появится свободное время он вам ответит.

И сразу предупрежу, что с расшифровкой вам помочь не сможем, только вирусы удалим.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Startup: C:\Users\Naphanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{F39SN97D-K73M-YLR9-1I59-YW9R799VKF}.bmp [2017-08-27] ()
  FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [No File]
  FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [No File]
  2017-08-25 22:47 - 2017-08-25 22:47 - 000000445 _____ C:\Users\vera3103\AppData\Local\Temp\__t6F0.tmp.bat
  2017-08-25 22:47 - 2017-08-25 22:47 - 000000000 _____ C:\Users\vera3103\AppData\Local\Temp\tmp7AC.tmp
  2017-08-25 22:47 - 2017-08-25 22:47 - 000000000 _____ C:\Users\vera3103\AppData\Local\Temp\__t6F0.tmp
  2017-08-25 22:44 - 2017-08-25 22:44 - 000004994 _____ C:\Program Files\how_to_back_files.html
  2017-08-25 22:40 - 2017-08-25 22:40 - 000004994 _____ C:\Program Files (x86)\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\Public\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\Public\Downloads\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\Public\Documents\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\Naphanya\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\Naphanya\Documents\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\ekolganova\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\ekolganova\Downloads\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\ekolganova\Documents\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ C:\Users\Default\how_to_back_files.html
  2017-08-25 22:37 - 2017-08-25 22:37 - 000004994 _____ C:\Users\vera3103\how_to_back_files.html
  2017-08-25 22:37 - 2017-08-25 22:37 - 000004994 _____ C:\Users\vera3103\Downloads\how_to_back_files.html
  2017-08-25 22:37 - 2017-08-25 22:37 - 000004994 _____ C:\Users\vera3103\Documents\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\Users\Все пользователи\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\Users\Администратор\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\Users\Администратор\Downloads\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\Users\Администратор\Documents\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\Users\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\ProgramData\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ C:\how_to_back_files.html
  2017-08-25 18:56 - 2017-08-25 18:56 - 000001026 _____ C:\Users\Public\{065f0c40-703a-11de-9954-806e6f6e6963}
  2017-08-25 18:56 - 2017-08-25 18:56 - 000000445 _____ C:\Users\vera3103\AppData\Local\Temp\__t7C5.tmp.bat
  2017-08-25 18:56 - 2017-08-25 18:56 - 000000000 _____ C:\Users\vera3103\AppData\Local\Temp\__t7C5.tmp
  Folder: C:\ProgramData\Windows
  Folder: C:\Windows\system32\lserver
  Folder: C:\Windows\system32\dns
  2017-08-25 22:44 - 2017-08-25 22:44 - 000004994 _____ () C:\Program Files\how_to_back_files.html
  2017-08-25 22:40 - 2017-08-25 22:40 - 000004994 _____ () C:\Program Files (x86)\how_to_back_files.html
  2017-08-25 22:39 - 2017-08-25 22:39 - 000004994 _____ () C:\Users\Naphanya\AppData\Local\how_to_back_files.html
  2017-08-25 22:36 - 2017-08-25 22:36 - 000004994 _____ () C:\ProgramData\how_to_back_files.html

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер после выполнения фикса возможно будет перезагружен.
  

 

[crozzle]

Готово

Сервер не перегрузился

Fixlog.txt

[crozzle]

Если не сможете помочь с расшифровкой файлов, то закрывайте заявку. Проще сервер переставить с нуля

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Zip: C:\ProgramData\Windows\csrs.exe
  2017-08-23 21:51 - 2017-03-31 22:37 - 002594816 _____ () C:\ProgramData\Windows\csrs.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.
  

После выполнения фикса, на рабочем столе образуется архив вида <дата>_<время>.zip отправьте его на исследования на емайл newvirus@kaspersky.com