Перейти к содержанию

Шифровальщик расширение .crypted000007

mcluch
 Share Подписчики 1

Рекомендуемые сообщения

mcluch

mcluch 0

Опубликовано
Опубликовано

Доброго времени суток! Вирус зашифровал часть файлов на компьютере. Стали они с расширением .crypted000007 

Так же большая часть файлов переименовались в набор символов. Пару зараженных файлов прикрепляю

При проверке антивирусом Касперского, а так же Dr. Web ничего не обнаружилось

Файл автологгера прикреплен к сообщению

Просим помощи во восстановлению файлов

 

 

CollectionLog-2018.01.11-08.02.zip

зараженые файлы.7z

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровать не сможем.

 

Проверьте правильно ли настроена защита от шифрования.

 

Для очистки следов вымогателя и мусора проделайте следующее:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Wise Care 365 4.23

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
mcluch

mcluch 0

Опубликовано
  • Автор
Опубликовано (изменено)

На данный момент был присвоен KLAN-7504134471

 

 

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Файлы FRST.txtAddition.txtShortcut.txt прикреплены к сообщению

 

 

 

Так же имеется предположительный файл 7zip которым произошло заражение, при прикреплении его ошибка "Ошибка Вы не можете загружать файлы подобного типа"

 

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем mcluch
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-01-11 07:35 - 2018-01-11 07:35 - 002359350 _____ C:\Users\lawyer\AppData\Roaming\AD7A284BAD7A284B.bmp
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000000000 __SHD C:\ProgramData\System32
2018-01-10 16:11 - 2018-01-11 07:56 - 000000000 __SHD C:\ProgramData\Windows
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README9.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README8.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README7.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README6.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README5.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README4.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README3.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README2.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README10.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README1.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
mcluch

mcluch 0

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2018-01-11 07:35 - 2018-01-11 07:35 - 002359350 _____ C:\Users\lawyer\AppData\Roaming\AD7A284BAD7A284B.bmp
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\Public\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README9.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README8.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README7.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README6.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README5.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README4.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README3.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README2.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README10.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000004186 _____ C:\Users\lawyer\Desktop\README1.txt
2018-01-11 07:35 - 2018-01-11 07:35 - 000000000 __SHD C:\ProgramData\System32
2018-01-10 16:11 - 2018-01-11 07:56 - 000000000 __SHD C:\ProgramData\Windows
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README9.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README8.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README7.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README6.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README5.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README4.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README3.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README2.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README10.txt
2018-01-10 16:11 - 2018-01-10 16:11 - 000004186 _____ C:\README1.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Файл лога в приложении

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
mcluch

mcluch 0

Опубликовано
  • Автор
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

Уязвимости устранены, после повторного выполнения скрипта, уязвимости не были обнаружены

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

1) не надо заниматься оверквотингом. Внизу есть поле для ответа.

2) Не даёт удалить в корзину или вообще? На совсем вроде должно удаляться. Покажите скрин ошибки.


И если среди них есть ценное, то советую на всякий случай сохранить. Вдруг в будущем появится возможность рассшифровки.

Ссылка на сообщение
Поделиться на другие сайты
mcluch

mcluch 0

Опубликовано
  • Автор
Опубликовано

При нажатии правой клавиши мыши вообще нет поля удалить. 

С клавиатуры клавишей del ругается на имя

оба скрина в приложении

post-47914-0-25618400-1515669308_thumb.png

post-47914-0-05380100-1515669315_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • vldmrmail
      Шифровальщик испортил файлы
      От vldmrmail
      Здравствуйте.
       
      В систему проник шифровальщик и испортил файлы документов. Систему сразу отключил - она неработоспособна стала. Жесткий диск с данными подключил к другому компьютеру и с него вытащил зашифрованные файлы и файл с требованием выкупа от мошенников. Прошу помочь с дешифровкой файлов.
      flash.zip
    • V.Liderov
      Шифровальщик FuxSocy
      От V.Liderov
      Здравствуйте! 04.04.2024 Обнаружили что зашифрованы файлы на компьютере. Просьба помочь расшифровать файлы. Логов нет, т.к. операционная система переустановлена
      файл шифровальщика.rar
    • tized-NSK
      Зашифровано .rty, помогите расшифровать
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      Шифровальщик 4ru9b88d70
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...