Расшифрока данных newsantaclaus@aol.com

[amimaru 0]

Приветствую. Аналогичная проблема. Прошу помочь.

[Mark D. Pearlstone 1 528]

Порядок оформления запроса о помощи

[amimaru 0]

Приветствую. помогите с расшифровкой файлов на сервере.

 

1. Проверку выполнил

2. С помощью актуальной версии сборщика логов файл прикреплен

3. тема содана

4. Ждмес...)

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

лог прикрепил. помощь поступит?

CollectionLog-2018.12.09-15.39.zip

[regist 618]

Здравствуйте!

 

Один из файлов Info.hta заархивируйте и прикрепите к сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\tender\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\tender\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\tender\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Пожалуйста, перезагрузите компьютер вручную.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[amimaru 0]

файл прикладываю...

новый лог во вложении

подскажите, какие мои дальнейшие действия? 

Судя по проверке вируса нет, но данные все еще зашифрованы. Получится восстановить?

кто-нибудь даст ответ. что делать для расшифровки данных?

Info.rar

CollectionLog-2018.12.09-17.51.zip

[regist 618]

 

 

подскажите, какие мои дальнейшие действия?

набраться и иметь терпение. Мы тут помогаем на добровольной основе и в своё личное свободное время. А в выходные есть и другие дела.

 

Насчёт файлов попробуйте RakhniDecryptor. О результатах отпишитесь.

C:\FILES ENCRYPTED.txt

тоже прикрепите.

[amimaru 0]

спасибо)). просто тишина. терпения вагон. просто надо понимать ждать помощи или нет. Еще раз спасибо

Попробовал - не поддерживаемый тип зашифрованного файла

FILES ENCRYPTED.txt

Изменено 9 декабря, 2018 пользователем amimaru

[regist 618]

пример зашифрованного файла прикрепите.

 

 

просто тишина.

так мы же не сидим тут круглосоточно, как выше написал помогаем в своё личное свободное время.

[amimaru 0]

один из зашифрованных файлов прикладываю в архиве...

winbox.exe.zip

[MaxSurAn 0]

Добрый день. У нас аналогичная проблема, но видел ругань антивируса на win32/Filecoder.Crysis.P, по классификации ESET. Может чем-то поможет.

[amimaru 0]

Честно говоря не понял как это работает.

выполнил вот такую команду

 

C:\Windows\System32\config\systemprofile\Desktop>esetcrysisdecryptor.exe /d c:\*.id-7A826C46.[newsantaclaus@aol.com].sa

 

В ответ получил вот это:

OS: 6.3.9600 SP0

Product Type: Server

WoW64: True

Machine guid: C1528324-9DEC-4E5D-9A09-5A2B256E1E2C

 

Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dhar

ma, .onion, .wallet

-------------------------------------------------------------------------------

DebugMode Enabled

-------------------------------------------------------------------------------

 

Looking for infected files...

-------------------------------------------------------------------------------

 

-------------------------------------------------------------------------------

0 infected files found.

0 file(s) cleaned.

Cleaning Finished.

The cleaner has successfully finished cleaning your system.                [Ok]

 

Эффекта ноль. Может я что-то делаю не так? Судя по сообщениям не поддерживает формат.

Изменено 10 декабря, 2018 пользователем amimaru

[amimaru 0]

Ребятушки, подскажите, пожалуйста, имеет смысл ждать, что появится дешифратор? очень хочется понять, что делать дальше: ждать или предпринимать что-то другое - в нашем случае поднимать новый сервак СУБД ,тк бекапы баз есть

[regist 618]

C:\FILES ENCRYPTED.txt

прикрепите к сообщению, а также один из зашифрованных файлов.

 

+ При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Насчёт возможности рассшифровки лучше уточните у них. Ответ желательно тут напишите.

[amimaru 0]

оба файла в архиве

Desktop.zip