Расшифровать файлы с расширением cripper

[SattvaMan]

Здравствуйте, возникла проблема - закрался вирус шифровальщик. Зашифрованы документы, картинки, *.pdf файлы и что самое страшное базы данных 1с. Архивы с логами, примерами зашифрованных файлов и письмом от злоумышленников в приложении.

CollectionLog-2018.03.28-13.05.zip

DECRIPT_MY_FILES.rar

Пульт.jpeg.rar

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\836d~1\appdata\local\temp\2\{1d5decfe-7991-4c97-aa48-cb95d7edf41c}\{3e9694f2-4aa0-4634-aa74-5d957bd84c99}.exe');
 StopService('StanduckSU');
 QuarantineFile('C:\Program Files (x86)\483439ee973f587d9bb1ffe33f27b80f\EOF.exe', '');
 QuarantineFile('C:\Program Files (x86)\Winsere\Winsere\Winsere.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA', '');
 QuarantineFile('c:\users\836d~1\appdata\local\temp\2\{1d5decfe-7991-4c97-aa48-cb95d7edf41c}\{3e9694f2-4aa0-4634-aa74-5d957bd84c99}.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\snare\Snare.dll', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SNARER\Snarer.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsi8282.tmp\BaofengUpdate_U.exe', '');
 DeleteFile('C:\Program Files (x86)\483439ee973f587d9bb1ffe33f27b80f\EOF.exe', '32');
 DeleteFile('C:\Program Files (x86)\Winsere\Winsere\Winsere.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA', '32');
 DeleteFile('c:\users\836d~1\appdata\local\temp\2\{1d5decfe-7991-4c97-aa48-cb95d7edf41c}\{3e9694f2-4aa0-4634-aa74-5d957bd84c99}.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\snare\Snare.dll', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SNARER\Snarer.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsi8282.tmp\BaofengUpdate_U.exe', '32');
 DeleteService('EOF');
 DeleteService('StanduckSU');
 DeleteService('Winsere');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[SattvaMan]

После выполнения указанных Вами процедур получил новые логи. Архив в приложении.

Re: шифровальщик cripper [KLAN-7834245914]

 

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:

capCADF.tmp:ad:$DATA - not-a-virus:AdWare.Win32.ELEX.eco

CollectionLog-2018.04.03-23.46.zip

[Sandor]

Один из файлов

DECRIPT_MY_FILES.txt

вместе с парой зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.