Перейти к содержанию

crypted000007

Zerox
 Поделиться

Рекомендуемые сообщения

Zerox

Zerox

Опубликовано
Опубликовано

Добрый день, вирус пришел на компьютер на почту от партнера с кем давно общаемся (взломали почту). Шифровальщик зашифровал файлы пользователя. 


После проверки Касперским шифровальщик нашелся в процессе сscc.exe (буквы могу путать, но вроде так) и был удален.


В приложении логи и файл с инфой о выкупе


rfst.rar

mike 1

mike 1

Опубликовано
Опубликовано

 

O4-32 - HKLM\..\Run: [AddR2] = \\Server2\erp\old\Pric.exe  (file missing)

Это знакомо?

 

 

ESET NOD32 Antivirus (HKLM\...\{CBDC9775-5E6B-4720-A392-90E9C1C9CD4A}) (Version: 4.2.76.1 - ESET, spol. s r.o.)

 

Антивирус почему такой древний установлен? 

Zerox

Zerox

Опубликовано
  • Автор
Опубликовано

1. Да знакома, это наша программа.

 

2. Ну так вышло, наше начальство не хочет вкладываться в ПО.

 

Я так понял, что вирус очищен и вариантов восстановления файлов нет?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Ну так вышло, наше начальство не хочет вкладываться в ПО.

Для информации: переход с действующей лицензии на более новые версии антивирусного ПО обычно бесплатный. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
2019-01-16 15:02 - 2019-01-16 15:02 - 006220854 _____ d:\Users\avalygin\AppData\Roaming\E58BE712E58BE712.bmp
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README9.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README8.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README7.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README6.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README5.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README4.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README3.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README2.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README10.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
Расшифровки нет. 
Изменено пользователем mike 1
Zerox

Zerox

Опубликовано
  • Автор
Опубликовано (изменено)

 

Ну так вышло, наше начальство не хочет вкладываться в ПО.

Для информации: переход с действующей лицензии на более новые версии антивирусного ПО обычно бесплатный. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
2019-01-16 15:02 - 2019-01-16 15:02 - 006220854 _____ d:\Users\avalygin\AppData\Roaming\E58BE712E58BE712.bmp
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README9.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README8.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README7.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README6.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README5.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README4.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README3.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README2.txt
2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README10.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
Расшифровки нет. 

прикрепил

Fixlog.txt

Изменено пользователем Zerox
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Такая же беда в администрации. Имеет ли смысл ждать дешифратор?

Расшифровки думаю не будет. Создайте свою тему. Не надо писать в чужой.

 

Zerox, смените все пароли.

Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Светлана123
      Вирус шифровальщик
      Автор Светлана123
      Прошу помочь в расшифровке файлов
      CollectionLog-2017.05.13-11.47.zip
    • metrolog_181
      Зашифровал все crypted000007
      Автор metrolog_181
      Добрый день! Нарвался на вирус скачав письмо с почты. Вирус зашифровал все фото, видео, музыку, текстовые документы
      CollectionLog-2017.05.02-10.06.zip
    • 500razlamer
      ShadeDecryptor оказался бесполезен
      Автор 500razlamer
      Зашифрованные файлы, видео, аудио и изображения) с расширением .xtbl лежат уже давно. Файл README1.txt также был сохранен. К сожалению, ShadeDecryptor оказался бесполезен, т.к. не смог найти ключ для расшифровки. Чем-то можно помочь?
       
      11:40:01.0742 0x0444  Trojan-Ransom.Win32.Shade decryptor tool 1.1.0.2 Jun  8 2016 16:43:09
      ...
      11:40:02.0102 0x0444  ============================================================
      11:40:02.0149 0x0444  Initialize success
      11:40:59.0383 0x1778  Using ID 7A9AF0405A282593E45E from the ransom note: D:\backRender\README1.txt
      11:41:11.0037 0x1778  No keys found for the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
      11:41:16.0723 0x1778  Cannot initialize decryptor on the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
       
      ------------------------------------------------------------------------------
      Логи, требуемые правилами создания запроса, прилагаются.
      CollectionLog-2017.05.11-10.00.zip
    • AndreyRTN2
      Зашифрованы файлы на ПК
      Автор AndreyRTN2
      Доброго времени суток.
       
      Сегодня при загрузке компьютера было обнаружены зашифрованные файлы с расширением
      "различные символы".NO_MORE_RANSOM множеством файлов README и черным экраном с оповещением о заражении.
      Kaspersky Endpoint Security 10 обнаружил trojan-ransom.win32.shade
       
      Заражение произошло при клике по ссылке в почте якобы от сбербанка.
       
      Прошу помочь в решении проблемы
       
       
      Addition.txt
      FRST.txt
    • Max0n
      шифровальщик no_more_ransom
      Автор Max0n
      Добрый день !
       
      Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js 
      После запуска файла вирус начал переименовывать файлы по следующему образцу: 
      XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom
       
      Процесс был прерван, но часть файлов вирус успел переименовать. 
      Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено).  
       
      Во вложении архив с зашифрованными файлами и логи проверки AutoLogger
       
      Возможно ли восстановить зашифрованные файлы ? 
      CollectionLog-2017.05.12-12.42.zip
      зашифрованные файлы.zip
×
×
  • Создать...