Перейти к содержанию

Расшифровать файлы с именами типа id-7093F6D4.[decrypthelp@qq.com].java

satmon
 Share

Рекомендуемые сообщения

satmon Новичок

satmon

Опубликовано
Опубликовано

Нужна помощь с расшифровкой файлов, закодированных вредоносной программой или вирусом, имена файлов получили расширение: id-7093F6D4.[decrypthelp@qq.com].java и теперь выглядят так: shtatnoe-raspisanie.xls.id-7093F6D4.[decrypthelp@qq.com].java

CollectionLog-2018.03.08-03.19.zip

зашифрованные файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет зачистка возможных следов вирусов.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
satmon Новичок

satmon

Опубликовано
  • Автор
Опубликовано

Данные файлы были обнаружены в облачных сервисах (типа dropbox, google drive, яндекс диск) одной из машины имеющих доступ к ним, завтра остальные проверю. Возможно источником являются другие компы

Ссылка на комментарий
Поделиться на другие сайты
satmon Новичок

satmon

Опубликовано
  • Автор
Опубликовано

Сделал CollectionLog на явно зараженной машине, в корне дисков есть текстовый файл с рекомендациями по отправке письма для расшифровки, прилагаю эти файлы

CollectionLog-2018.03.12-11.30.zip

FILES ENCRYPTED.txt

зашифрованные файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wreck\winint.exe','');
 DeleteFile('C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wreck\winint.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\wreck','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
satmon Новичок

satmon

Опубликовано
  • Автор
Опубликовано (изменено)
c:\quarantine.zip - отправил, получил:

Благодарим за обращение в Антивирусную Лабораторию. Присланные вами файлы и ссылки были проверены в автоматическом режиме В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip
Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
 
KLAN-7752591294, кажется файл пустой получился
повторно запустил Autologger, логи во вложении.
 
PS: файл FILES ENCRYPTED.txt - существует на всех дисках в корне, кроме диска С

CollectionLog-2018.03.13-01.29.zip

Изменено пользователем satmon
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [OneDrive] => C:\Users\temp\AppData\Local\Microsoft\OneDrive\OneDrive.exe [1559200 2018-03-07] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [files] => C:\Keno\sel.exe
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [RegAsm.exe] => C:\Users\temp\AppData\Roaming\RegAsm.exe [64664 2018-03-06] (Microsoft Corporation) <==== ATTENTION
HKU\S-1-5-21-1657978776-2133829164-3060405073-1003\...\Run: [C:\Users\temp\AppData\Roaming\Info.hta] => C:\Users\temp\AppData\Roaming\Info.hta [13923 2018-03-07] () <==== ATTENTION
Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-07] ()
Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wreck [2018-03-12] ()
CHR HKU\S-1-5-21-1657978776-2133829164-3060405073-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
2018-03-07 18:29 - 2018-03-07 18:29 - 000013923 _____ C:\Users\temp\AppData\Roaming\Info.hta
2018-03-07 18:29 - 2018-03-07 18:29 - 000000218 _____ C:\Users\temp\Desktop\FILES ENCRYPTED.txt
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mitesoro
      расшифровать файлы
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • Sergio1900
      Помогите расшифровать файлы Jami_decryptionguy
      От Sergio1900
      файл сканирования и пример.zip
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • pokrac
      [Расшифровано]Вирус не дает открыть никакой файл, обои с надписью "напишите сюда "тг" для решения вопроса" Lock. перед каждым файлом
      От pokrac
      Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса
    • Eaglex800
      Расшифровать файлы.
      От Eaglex800
      Добрый день! 
       
      Необходима помощь после шифровальщика.
      CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt virus.rar Addition.txt FRST.txt
×
×
  • Создать...