Вирус шифровальщик Crypted0000007

[Smoleti]

Добрый день. Словили вирус-шифровальщик по почте, письмо пришло от Ростелекома. Касперский нашел вот такой файл: csrss.exe и поместил его в карантин. Но к сожалению все файлы зашифровались. В компьютере была шлешка, мне необходимо понять имеется на флешке данный вирус или нет (на ней есть текстовые документы мошенников), файлы не зашифрованы и открываются.Чуть позже пришлю лог с зараженного компьютера.

CollectionLog-2017.09.04-21.15.zip

README1.txt

[regist]

С рассширофровкой помочь не сможем.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

По по флешке. просканируйте её тем же касперским. Для надёжности можете ещё проверить через какой-нибудь файлов менеджер с включённой опцией отображения скрытых файлов, чтобы там не было лишнего.
 

[Smoleti]

Флешку проверял Касперским, он ничего не нашел. Смущают текстовые файлы как на зараженном компьютере, шифровальщик может заразить флешку? Какой менеджер можете посоветовать - тотал командер?

Addition.txt

FRST.txt

Shortcut.txt

[regist]

 

 

тотал командер

вполне подойдёт.

[Smoleti]

С рассширофровкой помочь не сможем.

 

По по флешке. просканируйте её тем же касперским. Для надёжности можете ещё проверить через какой-нибудь файлов менеджер с включённой опцией отображения скрытых файлов, чтобы там не было лишнего.

 

 

Т.е. антишифратора можно ждать довольно продолжительное время? Или есть потуги с этой гадиной, на просторах интернета нашел несколько антишифраторов надеелся, что есть решение данной проблемы.

 

Проверить насколько я понимаю надо ручками)

[regist]

Следов вируса не видно, так немного мусор почистим.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\Policies\Explorer: []
  HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\MountPoints2: {27e04ab2-267d-11e5-8263-40e23004b730} - "F:\Setup.exe"
  HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\MountPoints2: {d95fb31b-ab26-11e5-8276-40e23004b730} - "F:\AutoRun.exe"
  HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\StartupApproved\Run: => "GameCenterMailRu"
  HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\StartupApproved\Run: => "GameCenterMailRu"
  
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
 

И я бы посоветовал WinZip 17.5 удалить, тем более WinRar 5 стоит.
 

 

 

Т.е. антишифратора можно ждать довольно продолжительное время?

да.

 

 

на просторах интернета нашел несколько антишифраторов

либо развод либо фирмы, которые вам предлагали рассшировку в сговоре с автором шифровальщика - по сути тоже развод, даже ещё хуже, так платить придётся намного больше.

При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку. Но насколько знаю на эту модификацию рассшифровки нет. На некоторые другие просто ключи слили.
 

[Smoleti]

Компьютер будет перезагружен автоматически.
 

 

на просторах интернета нашел несколько антишифраторов

либо развод либо фирмы, которые вам предлагали рассшировку в сговоре с автором шифровальщика - по сути тоже развод, даже ещё хуже, так платить придётся намного больше.

При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку. Но насколько знаю на эту модификацию рассшифровки нет. На некоторые другие просто ключи слили.
 

 

Сделал как Вы выше описали, но компьютер сам в ребут не пошел.

 

Думаю, писать бесполезно, т.к. на форуме много сообщений, а результата нет, к сожалению. 

Fixlog.txt

[regist]

 

 

Думаю, писать бесполезно

Если лицензия есть, то ничего не теряете создав запрос в тех. поддержку. И если потом рассшифровка появится, то по идее должны вам сообщить (сам никогда не пользовался такой услугой, так что гарантировать не могу ). А если её нету, то тогда конечно.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Smoleti]

Спасибо обращусь, мб повезет) Спасибо за помощь, завтра повторю все перечисленные манипуляции с зараженным компьютером.

 

Думаю, писать бесполезно

Если лицензия есть, то ничего не теряете создав запрос в тех. поддержку. И если потом рассшифровка появится, то по идее должны вам сообщить (сам никогда не пользовался такой услугой, так что гарантировать не могу ). А если её нету, то тогда конечно.

 

Выполните скрипт в AVZ при наличии доступа в интернет:
 

 

Не могу понять где AVZ находится

[regist]

 

 

Не могу понять где AVZ находится

..\AutoLogger\AVZ

[Smoleti]

Добрый ночи, прилагаю логи с зараженного компьютера.

 

Еще подскажите, приобрел Касперского на 2 компьютера. Чтобы создать запрос и приложить ключ активации необходимо через саму программу или можно на форуме? А то как то немного боязно, активировать 2й ключ на зараженном компьютере (на него поставил пробную версию).

Shortcut.txt

FRST.txt

Addition.txt

Изменено 6 сентября, 2017 пользователем Smoleti

[regist]

 

 

Чтобы создать запрос и приложить ключ активации необходимо через саму программу или можно на форуме?

нужно через сайт https://my.kaspersky.com/ru/

 

 

Прикрепленные файлы

Это как понимаю логи с другого комьютера? Создайте для него отдельную тему.

[Smoleti]

 

Чтобы создать запрос и приложить ключ активации необходимо через саму программу или можно на форуме?

нужно через сайт https://my.kaspersky.com/ru/

 

Спасибо, сделаю.

 

Прикрепленные файлы

Это как понимаю логи с другого комьютера? Создайте для него отдельную тему.

 

Добро.