Шифровальщик расширение .crypted000007

[mcluch]

Доброго времени суток! Вирус зашифровал часть файлов на компьютере. Стали они с расширением .crypted000007 

Так же большая часть файлов переименовались в набор символов. Пару зараженных файлов прикрепляю

При проверке антивирусом Касперского, а так же Dr. Web ничего не обнаружилось

Файл автологгера прикреплен к сообщению

Просим помощи во восстановлению файлов

 

 

CollectionLog-2018.01.11-08.02.zip

зараженые файлы.7z

[Sandor]

Здравствуйте!

 

К сожалению, расшифровать не сможем.

 

Проверьте правильно ли настроена защита от шифрования.

 

Для очистки следов вымогателя и мусора проделайте следующее:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Wise Care 365 4.23

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[mcluch]

На данный момент был присвоен KLAN-7504134471

 

 

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Файлы FRST.txt, Addition.txt, Shortcut.txt прикреплены к сообщению

 

 

 

Так же имеется предположительный файл 7zip которым произошло заражение, при прикреплении его ошибка "Ошибка Вы не можете загружать файлы подобного типа"

 

Addition.txt

FRST.txt

Shortcut.txt

Изменено 11 января, 2018 пользователем mcluch

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-01-11 07:35 - 2018-01-11 07:35 - 002359350 _____ C:\Users\lawyer\AppData\Roaming\AD7A284BAD7A284B.bmp
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README9.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README8.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README7.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README6.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README5.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README4.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README3.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README2.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README10.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README1.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000000000 __SHD C:\ProgramData\System32
  2018-01-10 16:11 - 2018-01-11 07:56 - 000000000 __SHD C:\ProgramData\Windows
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README9.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README8.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README7.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README6.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README5.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README4.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README3.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README2.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README10.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README1.txt
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[mcluch]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-01-11 07:35 - 2018-01-11 07:35 - 002359350 _____ C:\Users\lawyer\AppData\Roaming\AD7A284BAD7A284B.bmp
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README9.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README8.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README7.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README6.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README5.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README4.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README3.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README2.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README10.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README1.txt
  2018-01-11 07:35 - 2018-01-11 07:35 - 000000000 __SHD C:\ProgramData\System32
  2018-01-10 16:11 - 2018-01-11 07:56 - 000000000 __SHD C:\ProgramData\Windows
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README9.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README8.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README7.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README6.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README5.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README4.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README3.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README2.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README10.txt
  2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README1.txt
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Файл лога в приложении

Fixlog.txt

[Sandor]

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[mcluch]

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

Уязвимости устранены, после повторного выполнения скрипта, уязвимости не были обнаружены

[mcluch]

Подскажите как вычистить все эти зашифрованные файлы? У некоторых длинна имени большая windows не дает удалить

[regist]

1) не надо заниматься оверквотингом. Внизу есть поле для ответа.

2) Не даёт удалить в корзину или вообще? На совсем вроде должно удаляться. Покажите скрин ошибки.

И если среди них есть ценное, то советую на всякий случай сохранить. Вдруг в будущем появится возможность рассшифровки.

[mcluch]

При нажатии правой клавиши мыши вообще нет поля удалить. 

С клавиатуры клавишей del ругается на имя

оба скрина в приложении

[Sandor]

С клавиатуры клавишей del

с одновременно зажатой клавишей Shift попробуйте.

[mcluch]

Если использовать shift ошибка та же

[regist]

Перенесите в папку в корне диска и так удалите.