Перейти к содержанию

Шифровальщик CryptXXX

Dantes48
 Share

Рекомендуемые сообщения

Dantes48 Новичок

Dantes48

Опубликовано
Опубликовано

Зашифровались CryptXXX, Логи снял, пример зашифрованных файлов имеется, есть ли возможность расшифровки?

Дешифраторы с nomoreransom не помогают.

Есть ли возможность расшифровки?

 

Логи во вложении.

 

 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • Sandor

    16

  • Dantes48

    16

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Dantes48
Dantes48

Файлы в архиве Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '');
 QuarantineFileF('c:\users\admin\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\admin\AppData\Roaming\9382841\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '32');
 DeleteFileMask('c:\users\admin\appdata\local\snare', '*', true);
 DeleteFileMask('C:\Users\admin\AppData\Roaming\9382841\', '*', true);
 DeleteDirectory('C:\Users\admin\AppData\Roaming\9382841\');
 DeleteDirectory('c:\users\admin\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '91791855');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARE\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Скачайте эту версию HijackThis и соберите с ее помощью отчет. Инструкция.

 

 

пример зашифрованных файлов имеется

и записку с требованием выкупа упакуйте в архив и тоже прикрепите к следующему сообщению. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Dantes48 Новичок

Dantes48

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '');
 QuarantineFileF('c:\users\admin\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\admin\AppData\Roaming\9382841\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '32');
 DeleteFileMask('c:\users\admin\appdata\local\snare', '*', true);
 DeleteFileMask('C:\Users\admin\AppData\Roaming\9382841\', '*', true);
 DeleteDirectory('C:\Users\admin\AppData\Roaming\9382841\');
 DeleteDirectory('c:\users\admin\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '91791855');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARE\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Скачайте эту версию HijackThis и соберите с ее помощью отчет. Инструкция.

 

 

пример зашифрованных файлов имеется

и записку с требованием выкупа упакуйте в архив и тоже прикрепите к следующему сообщению.

 

Логи и записка во вложении

Форум.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Остальное тоже делайте, т.к. в системе еще есть зловред.

И, пожалуйста, не цитируйте полностью сообщение. Используйте форму быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
Dantes48 Новичок

Dantes48

Опубликовано
  • Автор
Опубликовано

Ответ от каспера: 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

     

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ


Клан номер от Каспера: KLAN-6881610597

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В архив Вы не добавили зашифрованные файлы.

 

Лог Hijackthis сделан не той версией, что я дал ссылку. Повторите, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В переустановке необходимости нет.

К сожалению, это GlobeImposter 2.0 и пока для него нет инструментов расшифровки.

 

Для улучшения работы наших утилит, пожалуйста проделайте следующее:

 

Запуститите HiJackThis (версию из последней ссылки). Нажмите меню Tools -> Files -> Digital Signature Checker. Вставьте в окно такие строки:

C:\Windows\system32\svchost.exe

C:\Windows\system32\dhcpcore.dll

C:\Windows\System32\dnsrslvr.dll

C:\Program Files\DrWeb\dwservice.exe

C:\Program Files (x86)\Firebird\Firebird_2_5\bin\fbguard.exe

C:\Windows\system32\HPSIsvc.exe

C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe

C:\Windows\system32\igfxCUIService.exe

C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe

C:\Windows\system32\HPZinw12.dll

C:\Windows\system32\umpnpmgr.dll

C:\Windows\system32\HPZipm12.dll

C:\Windows\system32\sysmain.dll

C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe

C:\Windows\System32\Audiosrv.dll

C:\Windows\system32\SearchIndexer.exe

c:\windows\system32\ntdll.dll

Нажмите Go. Пришлите отчёт DigiSign.csv
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Юрий Ч
      Шифровальщик с расширением .pussylikeashavel-VDwOdhMlTSSzwonBISwPaN-iUT48ohlKrYg8yifZcRQ
      От Юрий Ч
      1
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      Есть приватный ключ
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...