crypted000007 зашифровал....

17 декабря, 2018

Добрый день!, попал комп друга вирус шифровальщик (открыл письмо и вложеный файл)

Антивмрус был 360 тотал секурити

Файл редми следующего содержания

Baши фaйлы были зaшифpoвaны.

Чтобы рacшuфpoвать иx, Вам необxoдuмо oтnpaвumь кoд:

D22FE02000699312DD06|0

нa элекmpонный aдpес pilotpilot088@gmail.com .

Далее вы noлучuте вce нeoбхoдимые инстpуkцuu.

Попытku pасшuфровать cамосmoяmeльнo нe nриведym ни k чeмy, kpoме бeзвoзвpaтной пoтеpu инфoрмaции.

Eслu вы всё жe хоmите поnыmаmься, то прeдварuтeльнo cдeлaйте резервные kоnuu фaйлoв, uначе в слyчае

uх uзменения paсшuфровка cmaнem нeвозмoжной нu npu kaкux yслoвияx.

Если вы не полyчилu оmвeта nо вышеyказaнному адpeсу в тeчeние 48 чаcов (u тольkо в эmом случае!),

вocnoльзуйтecь фopмой обpamнoй связu. Эmo можнo сделaть двумя cпоcoбами:

1) Сkачaйтe u yстaновите Tor Browser nо cсылке: https://www.torproject.org/download/download-easy.html.en

В адpеснoй сmрoкe Tor Browser-a введитe адрес:

http://cryptsen7fo43rr6.onion/

и нажмиmе Enter. 3aгpyзиmcя cmpaница с фoрмoй обрamнoй связu.

2) B любoм бpаyзере пеpeйдumе по одномy из aдресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

Установил логгер, результат работы во вложении

Файл во вложении

CollectionLog-2018.12.14-16.59.zip

17 декабря, 2018

Здравствуйте!

Расшифровки этой версии к сожалению нет. Но вымогатель активен.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe');
 TerminateProcessByName('c:\progra~3\softwa~1\nheqmi~1.exe');
 QuarantineFile('c:\progra~3\softwa~1\nheqmi~1.exe', '');
 QuarantineFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '');
 DeleteFile('c:\progra~3\softwa~1\nheqmi~1.exe');
 DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '64');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '64');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '64');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '64');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeWeb

Менеджер браузеров

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

17 декабря, 2018

Файл quarantine.zip отправил,

Свежий Collection.log во вложении

ответ от newvirus@kaspersky.com KLAN-9300635936

CollectionLog-2018.12.17-13.20.zip

Изменено 17 декабря, 2018 пользователем Стас67

17 декабря, 2018

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

17 декабря, 2018

Отчет во вложении

AdwCleanerS00.txt

17 декабря, 2018

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

17 декабря, 2018

отчет (появилось 2 файла, время создания 14-04 и 14-05, самый первый который отослал 13-45)

AdwCleanerS01.txt

AdwCleanerC01.txt

17 декабря, 2018

Продолжаем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

crypted000007 зашифровал....

Рекомендуемые сообщения

Стас67

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Стас67

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Стас67

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Стас67

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum