Перейти к содержанию

Шифровальщик CryptXXX

Dantes48
 Share

Рекомендуемые сообщения

Dantes48 Новичок

Dantes48

Опубликовано
Опубликовано

Зашифровались CryptXXX, Логи снял, пример зашифрованных файлов имеется, есть ли возможность расшифровки?

Дешифраторы с nomoreransom не помогают.

Есть ли возможность расшифровки?

 

Логи во вложении.

 

 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • Sandor

    16

  • Dantes48

    16

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Dantes48
Dantes48

Файлы в архиве Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '');
 QuarantineFileF('c:\users\admin\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\admin\AppData\Roaming\9382841\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '32');
 DeleteFileMask('c:\users\admin\appdata\local\snare', '*', true);
 DeleteFileMask('C:\Users\admin\AppData\Roaming\9382841\', '*', true);
 DeleteDirectory('C:\Users\admin\AppData\Roaming\9382841\');
 DeleteDirectory('c:\users\admin\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '91791855');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARE\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Скачайте эту версию HijackThis и соберите с ее помощью отчет. Инструкция.

 

 

пример зашифрованных файлов имеется

и записку с требованием выкупа упакуйте в архив и тоже прикрепите к следующему сообщению. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Dantes48 Новичок

Dantes48

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '');
 QuarantineFileF('c:\users\admin\appdata\local\snare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\admin\AppData\Roaming\9382841\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\admin\AppData\Local\SNARE\Snarer.dll', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\9382841\674291.exe', '32');
 DeleteFileMask('c:\users\admin\appdata\local\snare', '*', true);
 DeleteFileMask('C:\Users\admin\AppData\Roaming\9382841\', '*', true);
 DeleteDirectory('C:\Users\admin\AppData\Roaming\9382841\');
 DeleteDirectory('c:\users\admin\appdata\local\snare');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '91791855');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SNARE\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Скачайте эту версию HijackThis и соберите с ее помощью отчет. Инструкция.

 

 

пример зашифрованных файлов имеется

и записку с требованием выкупа упакуйте в архив и тоже прикрепите к следующему сообщению.

 

Логи и записка во вложении

Форум.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Остальное тоже делайте, т.к. в системе еще есть зловред.

И, пожалуйста, не цитируйте полностью сообщение. Используйте форму быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
Dantes48 Новичок

Dantes48

Опубликовано
  • Автор
Опубликовано

Ответ от каспера: 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

     

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ


Клан номер от Каспера: KLAN-6881610597

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В архив Вы не добавили зашифрованные файлы.

 

Лог Hijackthis сделан не той версией, что я дал ссылку. Повторите, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В переустановке необходимости нет.

К сожалению, это GlobeImposter 2.0 и пока для него нет инструментов расшифровки.

 

Для улучшения работы наших утилит, пожалуйста проделайте следующее:

 

Запуститите HiJackThis (версию из последней ссылки). Нажмите меню Tools -> Files -> Digital Signature Checker. Вставьте в окно такие строки:

C:\Windows\system32\svchost.exe

C:\Windows\system32\dhcpcore.dll

C:\Windows\System32\dnsrslvr.dll

C:\Program Files\DrWeb\dwservice.exe

C:\Program Files (x86)\Firebird\Firebird_2_5\bin\fbguard.exe

C:\Windows\system32\HPSIsvc.exe

C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe

C:\Windows\system32\igfxCUIService.exe

C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe

C:\Windows\system32\HPZinw12.dll

C:\Windows\system32\umpnpmgr.dll

C:\Windows\system32\HPZipm12.dll

C:\Windows\system32\sysmain.dll

C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe

C:\Windows\System32\Audiosrv.dll

C:\Windows\system32\SearchIndexer.exe

c:\windows\system32\ntdll.dll

Нажмите Go. Пришлите отчёт DigiSign.csv
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • NikiGromel
      Помогите с шифровальщиком, может кто сталкивался
      От NikiGromel
      Сообщение от взломщика:
      YOUR FILES HAVE BEEN ENCRYPTED <<<
      Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.
      Your Decryption ID: 365B91AF
      Contact:
      - Email: opnkey@gmail.com
      - Telegram: @pcrisk
      Warning:  
      - Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
      - Don't Waste Time. The Price Will Rise If You Delay!
      Free Decryption:
      - Send 3 Small Files (Max 1MB) For Free Decryption.
       
      Прикрепляю два зашифрованных файла
      Desktop.rar
×
×
  • Создать...