Вирус CRYPTED000007 зашифровал файлы

[Чудин]

Здравствуйте! Девушка воспользовалась почтой с моего ПК. Ей пришло письмо с архивом,который она попыталась открыть. Но при открытии ничего не произошло. Позже пришлось отлучиться примерно на полчаса.ПК не выключался.Вернувшись,обнаружил,что фон рабочего стола изменен на изображение с надписью о зашифрованных файлах. Оказалось,что вирус зашифровал файлы изображений,видео, музыки и текстовые файлы.. Причем переименовав их все. Исходники нет возможности достать,так как файлы переименованы.

 

Baшu файлы былu зашифpованы.

_{Чmобы pаcшифpoваmь ux, Baм нeобxодимo omnравuть koд:
F4CEA35A674D969D1266|0
на элeктpoнный адрес Novikov.Vavila@gmail.com .
Дaлее вы пoлучuтe вcе необхoдимые инструкцuи.
Пonыmки расшuфрoвamь сaмоcmоятeльнo не пpиведyт нu k чему, kрoмe безвозврaтной поmеpи инфopмации.
Ecлu вы вcё же хomumе nonытатьcя, тo прeдварительно cдeлaйme pезеpвные kоnuи файлов, uначе в случae
иx uзменeнuя рaсшuфрoвка сmaнеm невозможнoй нu пpu каkиx ycловuяx.
Если вы не noлучили omвета по вышеyказанному aдреcy в течeниe 48 часов (u moльkо в этом cлyчае!),
воспользуйmeсь формoй обpaтной связu. Эmo можно cделamь двумя спoсoбамu:
1) Ckaчaйmе и уcтанoвume Tor Browser no ccылке: https://www.torproje...ad-easy.html.en
В aдрecной сmрokе Tor Browser-a введume адpeс:
http://cryptsen7fo43rr6.onion/
и нaжмuте Enter. Зaгpyзитcя сmpанuца c фopмoй oбpaтной связu.
2) В любoм бpayзeре пеpeйдите по oднoму из aдресoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/}

_{All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
F4CEA35A674D969D1266|0
to e-mail address Novikov.Vavila@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproje...ad-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/}

 

 

 

 

 

Прочитал тему на вашем форуме. Скачал FRST. Архив прикладываю к сообщению.

FRST.zip

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Чудин]

Здравствуйте! Девушка воспользовалась почтой с моего ПК. Ей пришло письмо с архивом,который она попыталась открыть. Но при открытии ничего не произошло. Позже пришлось отлучиться примерно на полчаса.ПК не выключался.Вернувшись,обнаружил,что фон рабочего стола изменен на изображение с надписью о зашифрованных файлах. Оказалось,что вирус зашифровал файлы изображений,видео, музыки и текстовые файлы.. Причем переименовав их все. Исходники нет возможности достать,так как файлы переименованы.

CollectionLog-2017.12.07-13.32.zip

[Чудин]

Здравствуйте! Девушка воспользовалась почтой с моего ПК. Ей пришло письмо с архивом,который она попыталась открыть. Но при открытии ничего не произошло. Позже пришлось отлучиться примерно на полчаса.ПК не выключался.Вернувшись,обнаружил,что фон рабочего стола изменен на изображение с надписью о зашифрованных файлах. Оказалось,что вирус зашифровал файлы изображений,видео, музыки и текстовые файлы.. Причем переименовав их все. Исходники нет возможности достать,так как файлы переименованы.

CollectionLog-2017.12.07-13.32.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~3\SysWOW64\NTMjC.cmd', '');
 QuarantineFile('C:\ProgramData\Csrss\csrss.exe', '');
 QuarantineFile('C:\Users\Илюха\appdata\roaming\svchost.exe', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\NTMjC.cmd', '32');
 DeleteFile('C:\ProgramData\Csrss\csrss.exe', '32');
 DeleteFile('C:\Users\Илюха\appdata\roaming\svchost.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSubsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Чудин]

KLAN-7290362097

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
NTMjC.cmd

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan.Win32.Agent.nevnwq

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[Sandor]

Делайте повторный CollectionLog.

[Чудин]

Делайте повторный CollectionLog.

CollectionLog-2017.12.07-16.44.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Чудин]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Shortcut.txt

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  () C:\Users\Илюха\AppData\Roaming\nssm.exe
  C:\Users\Илюха\AppData\Roaming\nssm.exe
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  2017-12-06 20:18 - 2017-12-07 14:17 - 000000000 __SHD C:\ProgramData\Csrss
  2017-12-06 18:54 - 2017-12-06 18:54 - 000000000 __SHD C:\ProgramData\Windows
  Task: {102D24AA-25C0-42A6-B517-53C52BCFAF29} - \DriverPack Notifier -> No File <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Чудин]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  () C:\Users\Илюха\AppData\Roaming\nssm.exe
  C:\Users\Илюха\AppData\Roaming\nssm.exe
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  2017-12-06 20:18 - 2017-12-07 14:17 - 000000000 __SHD C:\ProgramData\Csrss
  2017-12-06 18:54 - 2017-12-06 18:54 - 000000000 __SHD C:\ProgramData\Windows
  Task: {102D24AA-25C0-42A6-B517-53C52BCFAF29} - \DriverPack Notifier -> No File <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

[Sandor]

Вымогатель и его следы удалены и очищены.

С расшифровкой помочь не сможем.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Чудин]

Вымогатель и его следы удалены и очищены.

С расшифровкой помочь не сможем.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Спасибо Вам большое. А что делать с расшифровкой? 40Гб семейных фото и видео пропали..

[Sandor]

Сохраните на внешний носитель до лучших времен. Вымогатель Shade. Случается, что через время появляется либо ключ, либо инструмент для расшифровки.

 

Ознакомьтесь со статьей.

 

Рекомендации после удаления вредоносного ПО