Расшифровка файлов после вируса (.crypted000007)

[razum-2008]

Доброго всем.

На диске D зашифрованы все документы и фотки. Файлы имеют страшное название типа

+O56Nb-yzLg0hd9gViiqiqCmGlLM2oDmshb8aEag1vk=.EA54E5424BC49838EF3F.crypted000007 и у всех расширение .crypted000007.

Вот здесь https://www.kaspersky.ru/blog/cryptxxx-ransomware/11736/нашел прогу которая может расшифровать, но ей надо дать зашифрованный вариант и нешифрованный оригинал одного и того же файла.

Перерыл весь комп, вроде нахожу одинаковые по логике файлы, но их размеры отличаются на копейки байт и rannohdecryptor.exe отказывается расшифровывать.

Во вложении логи.

Подскажите, что можно сделать с данной проблемой?

CollectionLog-2018.07.29-22.32.zipПолучение информации...

[regist]

Здравствуйте!

 

с рассшифровкой помочь не сможем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('jcolnhhr');
 QuarantineFile('jcolnhhr.sys', '');
 DeleteFile('jcolnhhr.sys', '64');
 DeleteService('jcolnhhr');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[razum-2008]

Файл quarantine.zip пустой.

Вирус помимо шифровки изменяет  размер файла, чтобы нельзя было найти ключ.

Можно ли узнать что именно дописывает вирус, чтобы вначале уравнять размеры анализируемых файлов, а потом попытаться найти ключ?

отличия между файлами около 400 байт - можно ли их выявить и выбросить для поиска ключа? могу приложить исходники и зараженные.

Изменено 29 июля, 2018 пользователем razum-2008

[razum-2008]

Вообще ничего сделать нельзя?

[regist]

 

 

  regist сказал:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

  razum-2008 сказал:

Вот здесь https://www.kaspersk...nsomware/11736/нашелпрогу которая может расшифровать

это совершенно другой шифровальщик и если бы читали внимательно, то заметили что тот

  Цитата

 

добавляет .crypt к именам зашифрованных файлов.

а у вас разновидность shade.

[razum-2008]

Логи

1. Правильно ли я понял, что дешифровщика нет?

2. Правильно ли я сделал логи?

2.1. Что неправильного я сделал в п.2.

3. Что-нибудь можно сделать для возврата файлов к дешифрованному состоянию?

CollectionLog-2018.07.30-11.08.zipПолучение информации...

[regist]

1)

McAfee Security Scan Plus [2018/07/29 18:35:22]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Skype Click to Call [20161021]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

советую деинсталировать.

2) Если включено восстановление системы, то можете, попробовать восстановить файлы из теневых копий.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Graf33rus]

Здравствуйте, словили эту фигню, нашел 2 одинаковых файла видео,  надеюсь поможет для анализа

 

https://yadi.sk/d/yWuIoiapFDve0Q

 

в файле с требованием было следующее

 

README1:

  Показать контент

Вашu фaйлы былu зашифpовaны.
Чтобы pасшифрoвать их, Bам нeoбходимо omnpaвить koд:
23566061C06C3FEA91D3|0
нa элeкmрoнный aдрec pilotpilot088@gmail.com .
Дaлee вы noлучuте все нeoбxoдuмые инстpykции.
Пonытku раcшuфровamь самoсmoятельно не nривeдyт ни k чeмy, kpoме безвoзврaтнoй nотepu инфoрмaцuи.
Ecли вы вcё жe хотuте nonытаться, mo nредваpumeльно сдeлайmе pезеpвныe коnuи фaйлoв, инaчe в cлyчае
иx uзменения pacшифpoвка стaнеm нeвозможной ни npи каkиx ycловuях.
Еcлu вы нe nолучuли оmвета по вышeyкaзaнному aдреcу в meчeнue 48 чаcoв (u тольko в эmoм слyчаe!),
вocnользуйmeсь фopмой обрaтнoй связu. Эmo мoжно cдeлать двумя спосoбамu:
1) Скачайтe u уcтановumе Tor Browser пo сcылке: https://www.torproject.org/download/download-easy.html.en
В адpeснoй строкe Tor Browser-a ввeдuте aдрeс:
http://cryptsen7fo43rr6.onion/
и нажмиme Enter. 3aгpyзuтся cтpанuца с фopмoй обратнoй cвязu.
2) B любом брaузeрe nеpейдumе nо однoму из aдреcов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/ 

 

Изменено 21 февраля, 2019 пользователем Graf33rus

[regist]

@Graf33rus, Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

[bodo]

Вот набор, купленный дешифратор, закодированный файл и исходный файл

поможет это сделать дешифратор?

cryptedxxxxxx.7zПолучение информации...

[regist]

 

 

  bodo сказал:

поможет это сделать дешифратор?

@bodo, нет.