Вирус шифровальщик CRYPTED000007

[airo]

Являюсь корпоративным клиентом продукта ативирусного продукта касперского.

 

Был открыт файл вложения с электронной почты с темой о задолженности.

 

Компьютер заразился вирусом CRYPTED000007 все файлы word Excel PDF JPG превратились в шифрованные вида 0u1x4tFwbqW216WOvQqogWVqNl5B0a0VDme0IdIDmlthaGkGaQx2wvRD+5OrE-0mGaQ0LhWLmBgi-MAhAOivw==.6A7EB3280CDED085440F.CRYPTED000007

 

Файл с инструкцией куда перечислять деньги не могу найти, возможно сотрудник удалил.

 

Сам вирус был удален утилитой DrWeb CureIt но файлы остались зашифрованными , помогите расшифровать информацию.

 

Файл с логами прилагаю.

CollectionLog-2017.08.31-10.28.zip

[Sandor]

Здравствуйте!

 

Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 - версия устарела, в ней отсутствует защита от подобных угроз и она больше не поддерживается.

Переходите на KES10.

 

С расшифровкой помочь не сможем, только почистим следы. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[airo]

Высылаю логи Farbar Recovery Scan Tool

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2017-08-30 09:36 - 2017-08-30 16:35 - 000000000 __SHD C:\Users\Все пользователи\Windows
  2017-08-30 09:36 - 2017-08-30 16:35 - 000000000 __SHD C:\ProgramData\Windows
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[airo]

Код никуда вставлять не нужно ?

[Sandor]

Нет, выполняется из буфера обмена.

[airo]

А что делать с шифрованными файлами ?

[regist]

 

 

С расшифровкой помочь не сможем,

[airo]

Есть какие-нибудь методы которые можно попробовать ?

Изменено 1 сентября, 2017 пользователем airo

[Sandor]

 

 

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Покажите.