Шифровальщик .CRYPTED

[att]

зашифрованы все файлы, имя файлов выглядит следующим образом

имяфайла.расширение.CRYPTED

 

в момент обнаружения зашифрованных файлов было установлено то что работа анивирусного ПО прекращена (видимо шифровальщиком) и запуск не возможен

 

прикладываю html с текстом требований и файл с логами

how_to_back_files.html

CollectionLog-2018.04.01-13.11.zip

[regist]

Здравствуйте!

 

C рассшифровкой помочь не сможем. Только удалить вирусы, которых у вас целый набор.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\836D~1\AppData\Local\Temp\evb3ECF.tmp');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\evb3ECF.tmp', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\IntelFastFreezeService.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '');
 QuarantineFile('C:\Users\Администратор\WINDOWS\system32\calluxxprovider.vbs', '');
 QuarantineFile('C:\Users\Администратор\WINDOWS\system32\silcollector.cmd', '');
 QuarantineFile('C:\Windows\Fonts\taskhost.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\IntelFastFreezeService.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe', '32');
 DeleteFile('C:\Windows\Fonts\taskhost.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "ErrorCheck" /F', 0, 15000, true);
 DeleteService('spoolsrvrs');
 DeleteService('TrkWk');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузите вручную.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 
Повторите логи по правилам, с помощью этой версии Автологера.

Изменено 1 апреля, 2018 пользователем regist