Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик расширение .crypted000007

mcluch
 Поделиться

Рекомендуемые сообщения

mcluch

mcluch

Опубликовано
Опубликовано

Доброго времени суток! Вирус зашифровал часть файлов на компьютере. Стали они с расширением .crypted000007 

Так же большая часть файлов переименовались в набор символов. Пару зараженных файлов прикрепляю

При проверке антивирусом Касперского, а так же Dr. Web ничего не обнаружилось

Файл автологгера прикреплен к сообщению

Просим помощи во восстановлению файлов

 

 

CollectionLog-2018.01.11-08.02.zip

зараженые файлы.7z

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровать не сможем.

 

Проверьте правильно ли настроена защита от шифрования.

 

Для очистки следов вымогателя и мусора проделайте следующее:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Wise Care 365 4.23

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано (изменено)

На данный момент был присвоен KLAN-7504134471

 

 

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Файлы FRST.txtAddition.txtShortcut.txt прикреплены к сообщению

 

 

 

Так же имеется предположительный файл 7zip которым произошло заражение, при прикреплении его ошибка "Ошибка Вы не можете загружать файлы подобного типа"

 

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем mcluch
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-01-11 07:35 - 2018-01-11 07:35 - 002359350 _____ C:\Users\lawyer\AppData\Roaming\AD7A284BAD7A284B.bmp
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000000000 __SHD C:\ProgramData\System32
2018-01-10 16:11 - 2018-01-11 07:56 - 000000000 __SHD C:\ProgramData\Windows
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README9.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README8.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README7.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README6.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README5.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README4.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README3.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README2.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README10.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README1.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-01-11 07:35 - 2018-01-11 07:35 - 002359350 _____ C:\Users\lawyer\AppData\Roaming\AD7A284BAD7A284B.bmp
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000000000 __SHD C:\ProgramData\System32
2018-01-10 16:11 - 2018-01-11 07:56 - 000000000 __SHD C:\ProgramData\Windows
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README9.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README8.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README7.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README6.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README5.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README4.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README3.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README2.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README10.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README1.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Файл лога в приложении

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

Уязвимости устранены, после повторного выполнения скрипта, уязвимости не были обнаружены

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано

Подскажите как вычистить все эти зашифрованные файлы? У некоторых длинна имени большая windows не дает удалить

regist

regist

Опубликовано
Опубликовано

1) не надо заниматься оверквотингом. Внизу есть поле для ответа.

2) Не даёт удалить в корзину или вообще? На совсем вроде должно удаляться. Покажите скрин ошибки.


И если среди них есть ценное, то советую на всякий случай сохранить. Вдруг в будущем появится возможность рассшифровки.

mcluch

mcluch

Опубликовано
  • Автор
Опубликовано

При нажатии правой клавиши мыши вообще нет поля удалить. 

С клавиатуры клавишей del ругается на имя

оба скрина в приложении

post-47914-0-25618400-1515669308_thumb.png

post-47914-0-05380100-1515669315_thumb.png

Sandor

Sandor

Опубликовано
Опубликовано

С клавиатуры клавишей del

с одновременно зажатой клавишей Shift попробуйте.
regist

regist

Опубликовано
Опубликовано

Перенесите в папку в корне диска и так удалите.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...