Перейти к содержанию

Вирус шифровальщик crypted000007


Рекомендуемые сообщения

Добрый день! Вчера на почту пришел вирус под видом заявки от клиента в виде зип архива. В итоге все файлы стали с расширением crypted000007.

Прошу помочь расшифровать. Логи во вложении. 

CollectionLog-2018.10.31-10.16.zip

Изменено пользователем ЕвгенийБ
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter4

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter4

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== ATTENTION
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=834423"
    2018-10-30 09:35 - 2018-10-30 09:35 - 006220854 _____ C:\Users\Александр\AppData\Roaming\A145F5D4A145F5D4.bmp
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README9.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README8.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README7.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README6.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README5.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README4.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README3.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README2.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README10.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README1.txt
    2018-10-30 09:29 - 2018-10-30 09:29 - 000000000 __SHD C:\ProgramData\System32
    2018-10-30 09:18 - 2018-10-30 09:35 - 000000000 __SHD C:\ProgramData\Windows
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== ATTENTION
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=834423"
    2018-10-30 09:35 - 2018-10-30 09:35 - 006220854 _____ C:\Users\Александр\AppData\Roaming\A145F5D4A145F5D4.bmp
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README9.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README8.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README7.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README6.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README5.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README4.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README3.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README2.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README10.txt
    2018-10-30 09:35 - 2018-10-30 09:35 - 000004178 _____ C:\Users\Александр\Desktop\README1.txt
    2018-10-30 09:29 - 2018-10-30 09:29 - 000000000 __SHD C:\ProgramData\System32
    2018-10-30 09:18 - 2018-10-30 09:35 - 000000000 __SHD C:\ProgramData\Windows
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • escadron
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
×
×
  • Создать...