Перейти к содержанию

На моем ПК были зашифрованы файлы (в конце добавлено расширение – crypt)


Рекомендуемые сообщения

Здравствуйте.

На моем ПК были зашифрованы файлы (в конце добавлено расширение – crypt)

Попробовал воспользоваться утилитой Kaspersky RannohDecryptor версия 1.9.6.1, пишет, что размер зашифрованного файла не совпадает с оригинальным.

Отправляю вам зашифрованный и оригинальный файл. ( ссылка на файл - https://drive.google.com/open?id=1K3z33xaC0iJl6wcgSTLKGdpulk_tqhhP)

Ссылка на комментарий
Поделиться на другие сайты

Текстовый файл с требованием выкупа вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DealPly (remove only)

Dealply

desktopy

desktopy.ru

Extended Update

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('C:\Windows\TEMP\5e77793d-35fb-4bae-a6b6-575205cdf9a0.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Еще, пожалуйста, сообщите ответ вирлаба и

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Сообщаю ответ вирлаба:

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
item.dat

В антивирусных базах информация по присланным вами ссылкам отсутствует:
http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail
www.avg.com

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

 

Прикрепляю свежий CollectionLog.

CollectionLog-2018.02.06-19.37.zip

Ссылка на комментарий
Поделиться на другие сайты

Тип вымогателя GlobeImposter 2.0 и расшифровки для него нет.

Далее будет только очистка следов и рекламного мусора.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю файл AdwCleaner


Хотел спросить, в перспективе может выйдет новая версия утилиты Kaspersky RannohDecryptor, которая сможет расшифровать зараженные файлы ?

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты

Надежда весьма призрачна. Появится скорее всего только в случае, если будут пойманы злодеи, либо они сами соизволят выложить ключи (известно и такое).

 

Продолжим очистку:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

AdwCleanerS2.txt

Отчет об очистке содержит в имени файла символ [C], а не .

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{930CC610-7AFE-40ED-88D5-D6A09D9034B0}] => C:\Users\836D~2\AppData\Local\Temp\{455C6F2F-CBA8-485D-AAD1-5EB4205C4290}\{930CC610-7AFE-40ED-88D5-D6A09D9034B0}.cmd [292 2018-01-28] () <==== ATTENTION
    HKLM Group Policy restriction on software: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
    HKLM Group Policy restriction on software: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
    HKU\S-1-5-21-3530933586-2999309847-627659207-17164 Group Policy restriction on software: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
    HKU\S-1-5-21-3530933586-2999309847-627659207-17164 Group Policy restriction on software: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{957d009b-b459-405d-a2cd-db7d628f8662} <==== ATTENTION (Restriction - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-999176898-2629079064-599585743-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-3530933586-2999309847-627659207-17164 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-999176898-2629079064-599585743-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    2018-02-03 21:13 - 2013-09-25 14:00 - 000000000 ____D C:\Program Files (x86)\desktopy
    Task: {59674CDE-EC5C-4973-8287-6B5CA8D5A908} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.83 Online" "1514916632499" "3606a621-6618-48b8-baad-0ab2cc9f33bd"
    Task: {59674CDE-EC5C-4973-8287-6B5CA8D5A908} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    Task: {6E3D88C7-D8A7-4518-8BD0-C6D3A86FD8FA} - System32\Tasks\ScheduledTaskforTI => \arlington\INSTALL$\TI\tiagent.vbs
    HKU\S-1-5-21-999176898-2629079064-599585743-500\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Николай Костиков
      От Николай Костиков
      Доброго всем дня !!! Ребята помогите дешефратором , один паразит американских файлы 1 С у меня зашифровал. Пример файлов прикладываю к письму.
      user-192.png.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...