Поймал шифратор id-5EB67ECE.[veracrypt@foxmail.com].adobe

30 января, 2019

Добрый вечер.

Поймал шифровальщик.

Помогите восстановить данные

Файл логов

Addition.txt

FRST.txt

во вложении

Спасибо за ваш труд.

CollectionLog-2019.01.30-22.21.zip

30 января, 2019

@shestakov.sergej, прочтите и выполните внимательно правила. Самодеятельностью заниматься не надо, логи переименовывать тоже не надо. Этим вы только путаете, а как следствие осложняете помощь вам.

31 января, 2019

Прошу прощения, был не прав.

Не те инструкции прочитал. )

Во вложении правильных архив.

Все делал по инструкции

Спасибо.

CollectionLog-2019.01.31-21.16.zip

31 января, 2019

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\WINDOWS\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\User\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\WINDOWS\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

31 января, 2019

1. KLAN-9533401919

2. Файл во вложении

3. Скрипт ругнулся на строки

RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');

пришлось запускать без этих строк.

Ребята, скажите реально расшифровать файлы ?

При чем у меня там файл виртуальной машины VirualBox размером 73 Гб

По факту только он нужен.

Остальное не важно.

CollectionLog-2019.01.31-23.35.zip

31 января, 2019

Скрипт ругнулся на строки

наверно из-за того что в очередной раз инструкцию читали невнимательно и выполняли в старой версии AVZ, вместо той в которой указано. Кроме того выше написал

Самодеятельностью заниматься не надо

а вы берёте и правите скрипты.

31 января, 2019

Перешел на инструкцию по вашей ссылке (http://virusinfo.info/content.php?r=290-virus-detector), выполнил шаг №1 (скрин во вложении)

Вот ссылка

https://virusinfo.info/avz/avz4.zip

ее и скачал.

Поверьте, я грамотен. Занимаюсь разработкой ПО.

Комп заразил не я, мне нужно вытащить оттуда данные.

Ничего страшного, в том что эти два ключа реестра не удалились нет, файлы все равно удалены.

Мне нужно расшифровать только один файл, все остальное я снесу и поставлю заново

Жду дальнейших указаний.

Спасибо.

1 февраля, 2019

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Как выполнить скрипт в AVZ?

Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов.

все остальное я снесу и поставлю заново

и возможно окончательно потеряете шанс на рассшифровку.

Мне нужно расшифровать только один файл

запрос на расшифровку.

Поймал шифратор id-5EB67ECE.[veracrypt@foxmail.com].adobe

Рекомендуемые сообщения

shestakov.sergej

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

shestakov.sergej

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

shestakov.sergej

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

shestakov.sergej

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum