Шифровальщик dat

[lf1xix]

Помогите расшифровать файлы, поймал этот вирус https://www.virustotal.com/ru/file/53bf757dc213d4cd1cc8bb757bb161ea6613636129a45f593830bc93e763802b/analysis/

файл удалён

CollectionLog-2018.06.17-22.22.zip

Изменено 17 июня, 2018 пользователем lf1xix

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[lf1xix]

сделано 

Logs.rar

[thyrex]

C:\Users\admin\Desktop\image.gif.dat

C:\Users\admin\Desktop\Downloads.zip.dat

C:\Users\admin\Desktop\VK link.rar.dat

C:\Users\admin\Desktop\doc_2018-06-05_17-03-17.mp4.dat

C:\Users\admin\Desktop\4_Grayscale_logo_on_transparent_101x73.png.dat

зархивируйте, выложите архив на sendspace.com и пришлите ссылку на скачивание

 

Кроме того, в папке с вирусом должен быть файл с именем 0. Его тоже пришлите в архиве.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.trovi.com/?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&ISID=M120DA44A-C5AB-41C8-8D5A-0A58F805A642&SearchSource=55&CUI=&UM=6&UP=SP73941A9C-FDC0-49BD-AF27-F4575E63DAFB&SSPV=","hxxp://search.certified-toolbar.com/?si=41460&home=true&tid=592","hxxp://search.babylon.com/?affID=44444&tt=5212_2&babsrc=HP_ss&mntrId=bc735b2e000000000000000000000000","hxxp://searchou.com/?id=c69b4c70000000000000000000000000","hxxp://websearch.searchmainia.info/?unqvl=15","hxxp://websearch.searchiseasy.info/?pid=233&r=2013/08/27&hid=7216863296763018865&lg=EN&cc=RU&unqvl=33","hxxp://iron-start.com/","hxxp://www.trovi.com/?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&ISID=M120DA44A-C5AB-41C8-8D5A-0A58F805A642&SearchSource=55&CUI=&UM=6&UP=SP73941A9C-FDC0-49BD-AF27-F4575E63DAFB&SSPV=","hxxp://www.luckysearches.com/?type=hp&ts=1429562963&from=adc&uid=HitachiXHDS721050CLA362_JP1570HE3J89LK3J89LKX"
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
AlternateDataStreams: C:\Users\admin:Heroes & Generals [38]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[lf1xix]

готово 

Fixlog.txt

[thyrex]

Кроме того, в папке с вирусом должен быть файл с именем 0. Его тоже пришлите в архиве.

Это я для кого написал?

[lf1xix]

https://www.sendspace.com/file/gimyhc

[thyrex]

Проблемы с чтением? Я просил еще файл 0 из папки, где был найден шифратор

[lf1xix]

у меня нету папки с вирусом!, файл был удалён выше писал

[thyrex]

Вообще в том архиве, который Вы скачали, а потом запустили шифратор, должен был быть этот файл. Вспоминайте, откуда и что качали

[lf1xix]

скорее всего  этот файл  [удалено] я скачал, сам он без вирусов, но когда выскачало уведомления якобы новое обновления вышло, появилась доп ссылка яндекс  скачал файл назывался Project1.exe , ссылку пытался найти с вирусом она удалена

Изменено 18 июня, 2018 пользователем thyrex

[thyrex]

Это дроппер, как оказалось.

 

Все необходимое для шифрования можно найти в папке Temp/0

Запакуйте ее с паролем virus, выложите на sendspace.com и пришлите ссылку мне в личные сообщения.

[lf1xix]

Отправил в лс

[thyrex]

Ситуация аналогична с предыдущей версией этого шифратора: каждый файл шифруется уникальным ключом, зависящим от времени. Каждый ключ шифруется RSA-2048 и записывается в конец файла. Имеющийся брутфорсер способен за приемлемое время подобрать ключ для весьма ограниченного набора типов файлов 

[lf1xix]

какие дальнейшие действия мои, что бы все файлы расшифровать