[РЕШЕНО] Нужен дешифратор для Crypted000007

[Ilya-ABS]

На рабочем месте сотрудник открыл письмо с вложенным якобы актом сверки, который на самом деле оказался шифровальщиком, в результате работы которого были зашифрованы текстовые, табличные, файлы почты с характерным окончанием в названии crypted000007 и появившийся текстовый файл с содержанием отправить код на адрес pilotpilot088@gmail.com для получения дальнейших инструкций. Прошу помочь в расшифровке данных, тем более нет никакой уверенности, что даже в случае оплаты вымогатели выполнят обещанную расшифровку.

CollectionLog-2018.12.05-17.00.zip

Изменено 5 декабря, 2018 пользователем Ilya-ABS

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этой версии нет. Но вымогатель в системе находится в активном состоянии.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~3\msyzvt.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\msyzvt.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '3099281341', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '3099281341', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3099281341', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Ilya-ABS]

Пришел ответ: 

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.pet

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=61235

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте." KLAN-9227050446

Изменено 5 декабря, 2018 пользователем Ilya-ABS

[mike 1]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog. 

 

???

[Ilya-ABS]

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog. 

 

???

 

вот какраз только что сделал 

CollectionLog-2018.12.06-14.53.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ilya-ABS]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве

Сканирование проведено. 

Addition.txt

FRST.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  BHO-x32: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File
  Toolbar: HKU\S-1-5-21-4173418118-915243264-455361772-500 -> No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  No File
  CHR HomePage: Default -> search.ask.com
  CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> search.ask.com
  CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
  C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
  CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2018-07-02]
  2018-12-05 13:20 - 2018-12-05 13:20 - 003932214 _____ C:\Users\Маша\AppData\Roaming\1C3B237E1C3B237E.bmp
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README9.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README8.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README7.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README6.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README5.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README4.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README3.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README2.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README10.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README1.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000000000 __SHD C:\ProgramData\System32
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README9.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README8.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README7.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README6.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README5.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README4.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README3.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README2.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README10.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README1.txt
  2018-12-05 11:51 - 2018-12-05 17:47 - 000000000 __SHD C:\ProgramData\Windows
  2015-01-26 14:52 - 2015-01-26 14:52 - 000662936 _____ (Ask Partner Network) C:\Users\Маша\AppData\Local\Temp\APNSetup.exe
  AlternateDataStreams: C:\Users\Маша:id [32]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Ilya-ABS]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  BHO-x32: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File
  Toolbar: HKU\S-1-5-21-4173418118-915243264-455361772-500 -> No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  No File
  CHR HomePage: Default -> search.ask.com
  CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> search.ask.com
  CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
  C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
  CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2018-07-02]
  2018-12-05 13:20 - 2018-12-05 13:20 - 003932214 _____ C:\Users\Маша\AppData\Roaming\1C3B237E1C3B237E.bmp
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README9.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README8.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README7.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README6.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README5.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README4.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README3.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README2.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README10.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README1.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
  2018-12-05 13:20 - 2018-12-05 13:20 - 000000000 __SHD C:\ProgramData\System32
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README9.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README8.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README7.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README6.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README5.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README4.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README3.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README2.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README10.txt
  2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README1.txt
  2018-12-05 11:51 - 2018-12-05 17:47 - 000000000 __SHD C:\ProgramData\Windows
  2015-01-26 14:52 - 2015-01-26 14:52 - 000662936 _____ (Ask Partner Network) C:\Users\Маша\AppData\Local\Temp\APNSetup.exe
  AlternateDataStreams: C:\Users\Маша:id [32]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

[Sandor]

Не нужно цитировать все предыдущее сообщение.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ilya-ABS]

Просканировал.

AdwCleanerS00.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Ilya-ABS]

Новое сканирование.

 

 

AdwCleanerC01.txt

[Sandor]

Отчет AdwCleaner[C00].txt тоже покажите.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

2.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

До окончания разбора не удаляйте папку c:\frst.

 

Рекомендации после удаления вредоносного ПО

[Kas Narayda]

А если есть сам файл трояна? Файлик с расширением js. Вы поможете расшифровать файлы?

Положил троян в архив.

В архиве Documents.rar часть зашифрованных файлов с парой тройкой незашифрованных похожих по размеру.

Умоляю вас помочь. Очень много зашифровано.

Documents.rar

Изменено 7 августа, 2019 пользователем Sandor
Убрал вредоносный файл