Зашифрованы файлы шифровальщиков crypted000007

[Олег Почетовский]

Методист открыл письмо с незнакомого адреса. После файлы зашифровались и получили расширение .crypted000007. Помогите в расшифровке файлов. patch21po@yandex.ru Олег.

CollectionLog-2018.01.18-18.41.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\windows\temp\01f0a069.exe');
 TerminateProcessByName('c:\windows\temp\2d0168a9.exe');
 TerminateProcessByName('c:\windows\temp\ff9143b1.exe');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\windows\temp\01f0a069.exe', '');
 QuarantineFile('c:\windows\temp\2d0168a9.exe', '');
 QuarantineFile('c:\windows\temp\ff9143b1.exe', '');
 TerminateProcessByName('c:\docume~1\alluse~1\applic~1\softwa~1\nheqmi~1.exe');
 QuarantineFile('c:\docume~1\alluse~1\applic~1\softwa~1\nheqmi~1.exe','');
 DeleteFile('c:\docume~1\alluse~1\applic~1\softwa~1\nheqmi~1.exe','32');
 QuarantineFileF('c:\documents and settings\all users\application data\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\windows\temp\01f0a069.exe', '32');
 DeleteFile('c:\windows\temp\2d0168a9.exe', '32');
 DeleteFile('c:\windows\temp\ff9143b1.exe', '32');
 DeleteFileMask('c:\documents and settings\all users\application data\', '*', true);
 DeleteDirectory('c:\documents and settings\all users\application data\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

PS. папку Temp сами переназначили?
 

Изменено 18 января, 2018 пользователем regist

[Олег Почетовский]

Вот новые логи и файл карантина

Темп не переносил. Какая-то сборка стоит неофициальная

 

Строгое предупреждение от модератора Mark D. Pearlstone

Внимательно читайте, что вам пишут. Карантин на форум загружать не нужно.

CollectionLog-2018.01.19-16.20.zip

[regist]

1) Антивирус Касперского 6.0 для Windows Workstations - очень сильно устарел, для него и обновление баз не выпускается уже. От актуальных вирусов он не способен защитить физически, так как там просто нет нужных модулей. Так что обновите антивирус как можно скорее.

 

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('C:\WINDOWS\system32\logonui.exe', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\windows\temp\teamviewer\teamviewer.exe', '');
 QuarantineFileF('c:\docume~1\alluse~1\applic~1\softwa~1\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\documents and settings\all users\application data\csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\9vmtvoL.cmd', '32');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\windows\temp\teamviewer\teamviewer.exe', '32');
 DeleteFileMask('c:\documents and settings\all users\application data\csrss\', '*', true);
 DeleteDirectory('c:\documents and settings\all users\application data\csrss\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

"Пофиксите" в HijackThis:

O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O3 - HKU\.DEFAULT\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O3 - HKU\S-1-5-19\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O3 - HKU\S-1-5-20\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

Изменено 19 января, 2018 пользователем regist