Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Как расшифровать файлы *.

klm792
 Поделиться

Рекомендуемые сообщения

klm792

klm792

Опубликовано
Опубликовано

Сегодня утром увидел, что в облачном накопителе все файлы стали отображаться с расширением *.crypt и имеют подобный вид: 9905_01873.jpg.[iyieg9eB@secmail.pro].CRYPT Причём и картинки и видео и воровские документы. Есть ли какое-либо лечение? Можно ли вернуть файлы обратно?

klm792

klm792

Опубликовано
  • Автор
Опубликовано
Сегодня утром, обнаружил что все файлы в облаке (графические, текстовые, офисные) имеют расширение *.crypt Прошу помощи подсказать способ  дешифрирования обратно всех файлов. Сейчас они имеют вот такой формат: 9905_01873.jpg.[iyieg9eB@secmail.pro].CRYPT 

 

Как написано в инструкции, провёл проверку ПК программой Kaspersky Virus Removal Tool 2015 Программа, вредоносного кода, не нашла!

 

Так же в приложении лог от сборщика логов в приложении

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.

CollectionLog-2018.12.10-15.47.zip

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
klm792

klm792

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

 

Сделал, всё как описано выше. Прикладываю файлы к письму

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Временно выгрузите антивирус и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION

BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File

Toolbar: HKU\S-1-5-21-1405093162-2308607558-2947513643-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File

Toolbar: HKU\S-1-5-21-1405093162-2308607558-2947513643-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

2014-12-16 12:19 - 2014-12-16 12:19 - 000000111 _____ () C:\Program Files (x86)\ps.bat

2014-12-16 12:19 - 2014-12-16 12:19 - 000000117 _____ () C:\Program Files (x86)\WelcomeToPunto.bat

2014-12-16 12:19 - 2014-11-26 14:10 - 003741472 ____H () C:\Users\Игорь\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe

2014-12-16 12:19 - 2014-07-22 13:00 - 000876328 ____H (Yandex LLC) C:\Users\Игорь\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Пришлите несколько зашифрованных файлов и записку с требованием выкупа. 

klm792

klm792

Опубликовано
  • Автор
Опубликовано

Вот точно уже не смогу вспомнить. Искал какое-то ПО в интернете, скачал его, запустил. Потом, ничего не произошло, ну подумал какой-то "левый" дистрибутив. А это скорее всего оказался этот замаскированный "шифратор" (теперь уже понял). Сейчас посмотрел в папке "Загрузка", искал только дистрибутивы WINRAR и FileZilla примерно в рамках этих дат, когда произошло шифрование.

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

04-12-2018 17:16:52 Запланированная контрольная точка

Восстановите из теневых копий то что запускали в тот вечер. + Можете попробовать восстановить часть файлов из теневых копий с помощью ShadowExplorer. 

Изменено пользователем mike 1
klm792

klm792

Опубликовано
  • Автор
Опубликовано

А если копии не создавались? В свойствах диска написано, что "Предыдущие версии не обнаружены". Вирус же именно кодировал внешние накопители. 

mike 1

mike 1

Опубликовано
Опубликовано

Написал же:

 

 

 

Можете попробовать восстановить часть файлов из теневых копий с помощью ShadowExplorer. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • aleks365
      Поймал Crypto locker. расширение: полное имя файла.crypt
      Автор aleks365
      Здравствуйте.
      Поймал Crypto locker. Теперь все файлы с расширением: полное имя файла.crypt Пробовал использовать утилиты предлагаемые на сайте. Не помогло. Перепробовал все. Результат либо пишет что утилита не подходит для данной проблемы а RakhiniDecryptor не видит поражённые файлы. И как результат не может продолжить сканирование.
      Можно ли решить эту проблему? и что мне надо для этого?
      CollectionLog-2016.06.01-15.43.zip
    • foxss
      Поймал вирус. Добавляет к файлам расширение *.vi87FaHy
      Автор foxss
      текстовый документ лежит во всех папках. называется "HOW TO DECRYPT FILES" и гласит:
       
      Внимание! Все Ваши файлы зашифрованы!
      Чтобы узнать как восстановить свои файлы и получить к ним доступ,
      отправьте письмо на почту avastvirusinfo@yandex.ru с текстом: "ID:vi87FaHy".
       
      What happened to your files?
      All of your files were protected by a strong encryption.
      There is no way to decrypt your files without the key.
      If your files not important for you just reinstall your system.
      If your files is important just email us to discuss the price and how to decrypt your files.
      You can email us to avastvirusinfo@yandex.ru
      Your ID: vi87FaHy
       
      пример шифрованного файла здесь http://rgho.st/87MBqmMDb
       
      у меня win x64
      virusinfo_syscheck.zip
      hijackthis.log
    • Sergei Tyuoo
      Троян-вымогатель Вирус RSA-4096, файлы зашифрованы
      Автор Sergei Tyuoo
      Вчера подцепил этот вирус где и как не знаю, но подозреваю мастера по настройки интернета, после скачивания обновления для модема которые он сделал прошло 1.5 часа и компьютер был заражен. Поменялась заставка рабочего стола и все файлы doc jpeg avi на компе стали с расширением crypt. Я windows востоновил у меня был образ диска C: (сделанный прогой acronis) думал поможет а нет, вируса теперь нет а все файлы на диске D: зашифрованы (RSA-4096). Я хотел узнать можно их расшифровать или нет? У меня остались копии зашифрованных файлов но не всех.
       
      !Recovery_094AC91C374C.html
      !Recovery_094AC91C374C.txt
    • Андрей Егоров
      все файлы в формате .crypt
      Автор Андрей Егоров
      Здравствуйте, уважаемые пользователи и гости форума!
       
      Случилось так, что мне необходима Ваша помощь. 
       
      Вчера, по до сих пор непонятной мне причине, все мои файлы превратились в закриптованные <name>.jpg.crypt и у меня вымогали 1.2 миллиона биткойнов. 
       
      Волосы медленно седели, пока я в надежде перекапывал интернет..долго перекапывал и в итоге в каком-то блоге нашёл Rannoh Decrypter от Kaspersky. Нашёл (на каком-то форуме, т.к. мои фильмы и фотки Rannoh воспринимать не стал) и файл на 300мб, который удачно начал мне все декриптить.. с удалением криптованых файлов (не в ручную же их потом удалять, правда?). 
       
      В итоге, проснувшись с утра, я получил, как мне показалось сначала, свои старые файлы, но не тут то было - ни одна картинка, песня, видео и <ваш вариант> не открываются! 
       
      Пожалуйста, выручите!
       
      Ах да, троян я тоже удалил, помог Kaspersky Virus Removal Tool. 
       
      В приложении файлы от злоумышленика, которые он накидал мне по всем папкам, а также тхт от Farbar Recovery Scan Tool. 
       
      Надеюсь это не Game Over.
      Desktop.rar
    • igor.kinma
      Зашифрованные файлы xxx.crypt
      Автор igor.kinma
      Добрый день. недавно поймал на работе шифровальщик. Операционную систему уже переустановил, но сейчас все файлы на ПК имеют расширение .crypt. Помогите пожалуйста с расшифровкой если это конечно возможно. Спасибо!
       
      Лог программы AutoLogger - CollectionLog-2017.10.12-12.32.zip
       
      Несколько зашифрованных файлов - зашифрованные файлы.zip
       
      информация которую оставили разработчики шифровальщика:
       
      информация::
       
×
×
  • Создать...