Прошу помощи с расшифровкой файлов pilotpilot088@gmail.com

15 ноября, 2018

Добрый день, прошу помощи с восстановлением зашифрованных файлов.

После случайного открытия архива с почты, зашифровались документы на компьютере.

На втором разделе жесткого диска, появились файлы README следующего содержания:

Вашu файлы были зaшифровaны.

Чтобы расшифровamь uх, Bам необхoдuмо omnpавuть koд:

00E0330BFAAAC51FB2C4|0

нa элeкmpонный aдpеc pilotpilot088@gmail.com .

Перед созданием темы, выполнил все действия по инструкции.

CollectionLog-2018.11.14-20.54.zip

15 ноября, 2018

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2)

Trojan Remover [20181113]-->"C:\Program Files (x86)\Trojan Remover\unins000.exe"

деинсталируйте.

3)

файлы README

один такой файл с примером зашифрованного файла прикрепите.

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

15 ноября, 2018

1 - https://virusinfo.info/virusdetector/report.php?md5=EDDB1C78CBB5F0AF8CACFE0EF883190F

2 - Сделал

3 - README1.txt

4 - FRST_15-11-2018 21.21.10.txt Addition_15-11-2018 21.21.10.txt

README1.txt

Addition_15-11-2018 21.21.10.txt

FRST_15-11-2018 21.21.10.txt

15 ноября, 2018

Рассширения от mail.ru сами ставили? Используете?

16 ноября, 2018

Рассширения от mail.ru сами ставили? Используете?

Нет, не ставил.. в списке программ тоже нету никаких подобных

16 ноября, 2018

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKU\S-1-5-21-316968341-163007609-823940030-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811600
SearchScopes: HKU\S-1-5-21-316968341-163007609-823940030-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B937830AF-A19E-482D-B8F3-6ED8B83AD6D4%7D&gp=811610
SearchScopes: HKU\S-1-5-21-316968341-163007609-823940030-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B937830AF-A19E-482D-B8F3-6ED8B83AD6D4%7D&gp=811610
BHO-x32: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Игорь\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll [2018-07-27] (Mail.Ru)
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-07-27]
FF Extension: (Поиск Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-07-27]
FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-07-27]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8C8B66F1-91C1-4221-B066-6474A4396117%7D&gp=811022
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2018-06-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2018-06-24]
CHR Extension: (Яндекс) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2017-09-04]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhemechcanjmilllmccjbjldonmnnjjj [2018-06-24]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

16 ноября, 2018

Тоже такая же бяка на одном компьютере выскочила. Файлы на компьютере зашифровались с расширением CRYPTED000078, рядом лежит файлик readme с тем же адресом внутри pilotpilot088@gmail.com. Удалось найти две пары файлов зашифрованый и нормальный. rannohdecryptor не принимает пары, пишет размер разный, отличаются на 0,4Кб

https://www.nomoreransom.orgпостановил:

Возможно, Вы были заражены CryptXXX V1
Отличные новости! Возможно, у нас получится Вам помочь!

Предлагаемые декрипторы не помогают.

16 ноября, 2018

@Алекс Дементьянов, здравствуйте!

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

17 ноября, 2018

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKU\S-1-5-21-316968341-163007609-823940030-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811600
SearchScopes: HKU\S-1-5-21-316968341-163007609-823940030-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B937830AF-A19E-482D-B8F3-6ED8B83AD6D4%7D&gp=811610
SearchScopes: HKU\S-1-5-21-316968341-163007609-823940030-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B937830AF-A19E-482D-B8F3-6ED8B83AD6D4%7D&gp=811610
BHO-x32: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Игорь\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll [2018-07-27] (Mail.Ru)
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-07-27]
FF Extension: (Поиск Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-07-27]
FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-07-27]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8C8B66F1-91C1-4221-B066-6474A4396117%7D&gp=811022
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2018-06-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2018-06-24]
CHR Extension: (Яндекс) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2017-09-04]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhemechcanjmilllmccjbjldonmnnjjj [2018-06-24]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Сделал

Fixlog.txt

17 ноября, 2018

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
но шансов очень мало. Это разновидность Shade.

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Прошу помощи с расшифровкой файлов pilotpilot088@gmail.com

Рекомендуемые сообщения

Игорь Панин

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Игорь Панин

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Игорь Панин

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Алекс Дементьянов

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Игорь Панин

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum