шифровальщик omerta

[a_d_69]

Зашифровали все файлы и папки по сети. Есть текущая лицензия на Kaspersky Endpoint Security. 

Инструкция по расшифровке omerta.TXT

CollectionLog-2018.10.18-12.33.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ujnay\AppData\Roaming\csrs.exe', '');
 QuarantineFile('C:\Users\ujnay\AppData\Roaming\winhost.exe', '');
 QuarantineFile('C:\Users\ujnay\Как расшифровать файлы.TXT', '');
 DeleteSchedulerTask('System\SecurityService');
 DeleteFile('C:\Users\ujnay\AppData\Roaming\csrs.exe', '64');
 DeleteFile('C:\Users\ujnay\AppData\Roaming\winhost.exe', '64');
 DeleteFile('C:\Users\ujnay\Как расшифровать файлы.TXT', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{C98934A0-3C3D-E265-899C-30C4BD9F2EA8}', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Winhost', 'command', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[a_d_69]

KLAN-8945748741

[Sandor]

Полученный ответ

тоже не забудьте.

[a_d_69]

 

Полученный ответ

тоже не забудьте.

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

как расшифровать файлы.TXT

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

[regist]

@a_d_69, из вас всё по частям надо тянуть? Ждём

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

[a_d_69]

 

@a_d_69, из вас всё по частям надо тянуть? Ждём

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

 

Извините, сразу не увидел что нужно еще раз выложить. 

CollectionLog-2018.10.25-22.50.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[a_d_69]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

[Sandor]

Есть текущая лицензия на Kaspersky Endpoint Security

Создайте запрос на расшифровку.

 

Но, насколько мне известно, расшифровки нет. И, похоже, у вас "поработали" два вымогателя.

[a_d_69]

 

Есть текущая лицензия на Kaspersky Endpoint Security

Создайте запрос на расшифровку.

 

Но, насколько мне известно, расшифровки нет. И, похоже, у вас "поработали" два вымогателя.

 

Да, один был год назад, тогда повезло. Сейчас не очень повезло. Запрос создал. 

[Sandor]

По результату отпишитесь здесь, пожалуйста.

[a_d_69]

По результату отпишитесь здесь, пожалуйста.

Добрый день, Илья.

 

Коллеги из Вирусной Лаборатории сообщили, что предположительно удалось восстановить нужный ключ.

Пожалуйста, ожидайте утилиту для расшифровки.

[a_d_69]

Прислали расшифровщик, все файлы вернул. 

[vitaly41088]

Здравствуйте, какая же ситуация с .omerta. Запрос делал. Техподдержка не может помочь. Можете поделиться дешифратором?