Перейти к содержанию
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

зашифрованные документы

hook009
 Поделиться

Рекомендуемые сообщения

hook009

hook009

Опубликовано
Опубликовано

Добрый день! После открытия ссылки на почте, все документы были зашифрованы вирусом-вымогателем. пока был в отъезде родители вызвали компьютерного мастера,он сказал , что удалил сам вирус. Но так и расшифровал файлы. жесткий диск лежал, начал разбираться сам,т.к. нужны документы. Не нашел файла readmr.txt, есть только скриншот рабочего стола. Его прилагаю.Надеюсь на помощь!Спасибо!

CollectionLog-2019.03.26-12.07.zip

скрин.rar

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('skinapp');
 DeleteService('ReimageRealTimeProtection');
 DeleteFile('C:\Windows\skinapp.sys','64');
 DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReiGuard.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KRB Updater Utility.lnk','x64');
 DeleteSchedulerTask('Microsoft\0C1542DF73A250E1C786E151FDB53342');
 DeleteSchedulerTask('Microsoft\0C1542DF73A250E1C786E151FDB53342SB');
 DeleteSchedulerTask('runTask');
 DeleteSchedulerTask('updateTask');
 DeleteFile('c:\task.vbs','64');
 DeleteFile('C:\Users\D899~1\AppData\Local\Temp\Updater.exe','64');
 DeleteFile('C:\Users\Сергей\AppData\Local\Microsoft\ECE8705CD9721FD9C5E3B28AE6457B5E\B53342DF151E687C1E052A37FD0C1542.exe','64');
 DeleteSchedulerTask('{233309D0-BB93-4B7D-9AC4-4E45B1E35710}');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{233309D0-BB93-4B7D-9AC4-4E45B1E35710}.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Увы, с расшифровкой помочь не сможем. Будет только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2744588668-3277248476-1547533861-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
S3 HnGService; D:\GamesMailRu\Heroes & Generals GC\hngservice.exe [X]
S3 NBService; C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe [X]
S3 cpuz134; \??\C:\Users\D899~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] <==== ATTENTION
2018-08-27 15:53 - 2018-08-27 15:53 - 006220854 _____ () C:\Users\Сергей\AppData\Roaming\DB27AF8BDB27AF8B.bmp
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
Task: {2D595640-99F7-4970-852D-C018987F3DC7} - System32\Tasks\{CD213462-77FA-44D6-B89F-4BF33EE25A3B} => C:\Program Files (x86)\Common Files\AppDownloads\{CD213462-77FA-44D6-B89F-4BF33EE25A3B}.exe <==== ATTENTION
Task: {2265093E-7BB7-4A96-8B3C-AAF0BE8BE2C6} - System32\Tasks\Microsoft\Windows\0C1542DF73A250E1C786E151FDB53342 => C:\Users\Сергей\AppData\Local\Microsoft\ECE8705CD9721FD9C5E3B28AE6457B5E\B53342DF151E687C1E052A37FD0C1542.exe
Task: {444B70C0-4214-470F-8C79-BC952F44683C} - \Driverupdater -> No File <==== ATTENTION
Task: {67DB5EA0-4FE7-44C7-93D7-769C879CA979} - System32\Tasks\{E2BCEF5C-FA2C-4B62-A573-7FBCF9B6DB45} => C:\Program Files (x86)\Common Files\AppDownloads\{E2BCEF5C-FA2C-4B62-A573-7FBCF9B6DB45}.exe <==== ATTENTION
Task: {A647F7BD-C620-42AF-8E7A-560E954A1116} - System32\Tasks\{7A5123BE-3003-4E28-9CAA-EC786B4753B3} => C:\Program Files (x86)\Common Files\AppDownloads\{7A5123BE-3003-4E28-9CAA-EC786B4753B3}.exe <==== ATTENTION
Task: {AA5081D8-AB68-4502-8877-C5849449E54F} - System32\Tasks\Microsoft\Windows\0C1542DF73A250E1C786E151FDB53342SB => C:\Users\Сергей\AppData\Local\Microsoft\ECE8705CD9721FD9C5E3B28AE6457B5E\B53342DF151E687C1E052A37FD0C1542.exe
Task: {BFD3976C-1376-4CB3-812C-31FF3C5D47FF} - System32\Tasks\{AF755FBD-4F6F-424A-B03B-AC97E24C3D53} => C:\Program Files (x86)\Common Files\AppDownloads\{AF755FBD-4F6F-424A-B03B-AC97E24C3D53}.exe <==== ATTENTION
Task: {C74F034B-E69A-4E81-8ACE-45FBB0D4A5B5} - System32\Tasks\Microsoft\Windows\{E93FE3FC-6D62-4BEE-845D-E2BA12F595BB} => C:\Users\Сергей\AppData\Local\Microsoft\Macromed\Flash Player\{E93FE3FC-6D62-4BEE-845D-E2BA12F595BB}\UpdaterStartupUtility.exe <==== ATTENTION
Task: {D1AD3CB6-4916-458F-9291-E7C923CA4B09} - System32\Tasks\{2DE4DCE5-979D-4CD1-9D5F-8A1E73085022} => C:\Program Files (x86)\Common Files\AppDownloads\{2DE4DCE5-979D-4CD1-9D5F-8A1E73085022}.exe <==== ATTENTION
Task: {DF83B691-F288-4BE4-BD71-C3EFEC6FC9ED} - System32\Tasks\{DED2698D-B736-4EEA-A982-9472E4B7BACF} => C:\Program Files (x86)\Common Files\AppDownloads\{DED2698D-B736-4EEA-A982-9472E4B7BACF}.exe <==== ATTENTION
Task: {FFCFCF8F-C7B7-4599-91D8-417898A00EAE} - System32\Tasks\{C2BB3FB0-C44D-4EA0-BBD8-4998FFE4E7E1} => C:\Program Files (x86)\Common Files\AppDownloads\{C2BB3FB0-C44D-4EA0-BBD8-4998FFE4E7E1}.exe <==== ATTENTION
FirewallRules: [{CCE0A283-DC91-4EC3-8901-E6F47A1B0C53}] => (Allow) D:\games\Battlefield 4\bf4_x86.exe No File
FirewallRules: [{613E787A-450A-49BA-9748-172C4A8EB3A7}] => (Allow) D:\games\Battlefield 4\bf4_x86.exe No File
FirewallRules: [{AA4CB436-469C-4ABF-95F0-392650F67DEA}] => (Allow) D:\games\Battlefield 4\bf4.exe No File
FirewallRules: [{8603A908-121F-4C42-9226-C056BCBE30B8}] => (Allow) D:\games\Battlefield 4\bf4.exe No File
FirewallRules: [TCP Query User{3E9C43A0-DCC8-4233-BAC2-4F453AD5BFC4}D:\games\медаль\mp\mohmpgame.exe] => (Allow) D:\games\медаль\mp\mohmpgame.exe No File
FirewallRules: [UDP Query User{7402C74D-EEB9-42B6-A0D5-605D6731736F}D:\games\медаль\mp\mohmpgame.exe] => (Allow) D:\games\медаль\mp\mohmpgame.exe No File
FirewallRules: [TCP Query User{469B6D0D-2856-462A-A421-BB4B30CB4E43}D:\games\медаль\binaries\moh.exe] => (Block) D:\games\медаль\binaries\moh.exe No File
FirewallRules: [UDP Query User{BD5534B9-6BD3-4CF5-92C0-C8F6B64845DC}D:\games\медаль\binaries\moh.exe] => (Block) D:\games\медаль\binaries\moh.exe No File
FirewallRules: [TCP Query User{6D673AAA-C2F2-4E85-A2A4-14F1D27E361F}C:\users\сергей\appdata\local\temp\iperf.exe] => (Allow) C:\users\сергей\appdata\local\temp\iperf.exe No File
FirewallRules: [UDP Query User{5B77F280-52EB-4664-8F93-5074A5ABAF27}C:\users\сергей\appdata\local\temp\iperf.exe] => (Allow) C:\users\сергей\appdata\local\temp\iperf.exe No File
FirewallRules: [TCP Query User{3DD8AB1C-5A61-4D5F-97C0-185FFABB6274}D:\games\splinter cell - blacklist\src\system\blacklist_game.exe] => (Allow) D:\games\splinter cell - blacklist\src\system\blacklist_game.exe No File
FirewallRules: [UDP Query User{6BCF3B6E-7040-45C1-81F4-FDB4628801B1}D:\games\splinter cell - blacklist\src\system\blacklist_game.exe] => (Allow) D:\games\splinter cell - blacklist\src\system\blacklist_game.exe No File
FirewallRules: [TCP Query User{01D5DA32-1743-4A29-AA34-A3F19C8C49D5}D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe] => (Allow) D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe No File
FirewallRules: [UDP Query User{3F20DEEF-7603-4C2E-AE2F-95F96B1C6556}D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe] => (Allow) D:\gamesmailru\armored warfare\bin64\armoredwarfare.exe No File
FirewallRules: [TCP Query User{887DB258-57A7-4029-9E5F-83D19E3DF3F7}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [UDP Query User{2E50778F-9360-4D11-9BF5-60939C0C37D3}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [TCP Query User{C41EF0A0-6E37-48D4-9DFA-866FCDC8F62B}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [UDP Query User{60A6EC98-6549-43AF-B14D-85539F4E00BC}C:\users\сергей\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\сергей\appdata\local\mediaget2\mediaget.exe No File
FirewallRules: [{B26FBC5F-95A7-45AE-A628-AFE0C182716C}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4.exe No File
FirewallRules: [{875AA7C1-BED9-46DF-B13E-039ABBAF7E58}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4.exe No File
FirewallRules: [{537437AE-5654-4B8E-9500-D355B3F95457}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4_x64.exe No File
FirewallRules: [{B74D9863-24CF-43B7-A521-CECD6E68A115}] => (Allow) D:\games\The SIMS 4\Game\Bin\TS4_x64.exe No File
FirewallRules: [TCP Query User{1D1CDEDF-214C-402A-BE45-747C4301449B}D:\games\lethe - episode one\binaries\win32\udk.exe] => (Block) D:\games\lethe - episode one\binaries\win32\udk.exe No File
FirewallRules: [UDP Query User{3D3AD38A-B3C4-4DD5-A7F5-341178F780C1}D:\games\lethe - episode one\binaries\win32\udk.exe] => (Block) D:\games\lethe - episode one\binaries\win32\udk.exe No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dimchi
      файлы зашифровались, расширение crypted000007 (вымогатель- Novikov.Vavila@gmail.com)
      Автор dimchi
      После открытия программы из архива, который пришел на эл. почту-  все офисные файлы были зашифрованы с расширением crypted000007, в Readme файлах просят связаться с Novikov.Vavila@gmail.com.

      Проверил компьютер с помощью dr web cureit, нашел и обезвредил 4 файла. 

       

      В приложении логи от autologger.

       

      Хочу создать Запрос на расшифровку файлов. Какие файлы прикрепить к запросу?

       

      Спасибо

      CollectionLog-2017.12.08-13.52.zip
    • Чудин
      Вирус CRYPTED000007 зашифровал файлы
      Автор Чудин
      Здравствуйте! Девушка воспользовалась почтой с моего ПК. Ей пришло письмо с архивом,который она попыталась открыть. Но при открытии ничего не произошло. Позже пришлось отлучиться примерно на полчаса.ПК не выключался.Вернувшись,обнаружил,что фон рабочего стола изменен на изображение с надписью о зашифрованных файлах. Оказалось,что вирус зашифровал файлы изображений,видео, музыки и текстовые файлы.. Причем переименовав их все. Исходники нет возможности достать,так как файлы переименованы.
       
      Baшu файлы былu зашифpованы.
      Чmобы pаcшифpoваmь ux, Baм нeобxодимo omnравuть koд:
      F4CEA35A674D969D1266|0
      на элeктpoнный адрес Novikov.Vavila@gmail.com .
      Дaлее вы пoлучuтe вcе необхoдимые инструкцuи.
      Пonыmки расшuфрoвamь сaмоcmоятeльнo не пpиведyт нu k чему, kрoмe безвозврaтной поmеpи инфopмации.
      Ecлu вы вcё же хomumе nonытатьcя, тo прeдварительно cдeлaйme pезеpвные kоnuи файлов, uначе в случae
      иx uзменeнuя рaсшuфрoвка сmaнеm невозможнoй нu пpu каkиx ycловuяx.
      Если вы не noлучили omвета по вышеyказанному aдреcy в течeниe 48 часов (u moльkо в этом cлyчае!),
      воспользуйmeсь формoй обpaтной связu. Эmo можно cделamь двумя спoсoбамu:
      1) Ckaчaйmе и уcтанoвume Tor Browser no ccылке: https://www.torproje...ad-easy.html.en
      В aдрecной сmрokе Tor Browser-a введume адpeс:
      http://cryptsen7fo43rr6.onion/
      и нaжмuте Enter. Зaгpyзитcя сmpанuца c фopмoй oбpaтной связu.
      2) В любoм бpayзeре пеpeйдите по oднoму из aдресoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      F4CEA35A674D969D1266|0
      to e-mail address Novikov.Vavila@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      If you still want to try to decrypt them by yourself please make a backup at first because
      the decryption will become impossible in case of any changes inside the files.
      If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
      use the feedback form. You can do it by two ways:
      1) Download Tor Browser from here:
      https://www.torproje...ad-easy.html.en
      Install it and type the following address into the address bar:
      http://cryptsen7fo43rr6.onion/
      Press Enter and then the page with feedback form will be loaded.
      2) Go to the one of the following addresses in any browser:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
       
       
       
       
      Прочитал тему на вашем форуме. Скачал FRST. Архив прикладываю к сообщению.
      FRST.zip
    • Georgiy_A
      зашифрованы файлы, расширение crypted000007 от Novikov.Vavila@gmail.com
      Автор Georgiy_A
      все офисные файлы зашифрованы с расширением crypted000007, в соответствующих Readme файлах просят связаться с Novikov.Vavila@gmail.com.
       
      в соответствии с инструкцией, проверил компьютер с помощью KVRT, нашел какой-то троян.
      в приложении логи от autologger.
       
      Заранее спасибо
       
      CollectionLog-2017.12.06-13.00.zip
    • Centoff
      Помогите с ShadeDecryptor
      Автор Centoff
      Прошу помочь.
       
      Проблема один в один!
       
      Прикладываю лог и файлы
      ShadeDecryptor.1.1.0.2_01.12.2017_11.57.31_log.txt
    • usgmpopov
      Зашифровались файлы NO_MORE_RANSOM
      Автор usgmpopov
      Baшu фaйлы были зашuфрoваны.
      Чmобы их pacшифpoвamь, нeобхoдuмо отпpавuть Бам ког:
      5815B2AB0F8DCFFFFA2D|0
      электрoнный нa yvonne.vancese1982@gmail.com agpec .
      Далеe вы получume все инстpyкцuu неoбxодимые.
      Поnытки paсшифpoвamь cамоcmoятельнo нe npuведут нu к чему, kpome безвoзврamнoй пoтeрu uнфopмaцuи.
      Если вы всё же xomите nonыmаться, МО пpедвaритeльнo cдeлайтe рeзервные konuu фaйлoв, инaчe в cлучaе
      их измeнения pacшuфpoвкa cтанeт невoзможнoй ни нпу kakux условuях.
      Eсли вы нe пoлyчили omвеma не вышeукaзaннoму agpecy в тeчeнuе 48 часов (у тольko в эmом слyчае!),
      воcпoльзyйтecь формой связu обpamнoй. Мoжно Этo cдeлать двyмя сnосoбамu:
      1) Ckaчайте и уcтановuте Тор браузер не ccылке: https://www.torproject.org/download/download-easy.html.en
      Б aдресной cтроkе браузера Тор ввeдиmе agpec:
      http://cryptsen7fo43rr6.onion/
      у нажмumе ввод. Зaгpузится cmpaнuца с oбрamнoй фоpмoй cвязu.
      2) Б любoм бpayзeрe nepейдитe не однoмy uз aдpecoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
      Прошу  помочь расшифровать файлы. 
      Все важные файлы на вашем компьютере были зашифрованы.
      Для расшифровки файлов вы должны отправить следующий код:
      5815B2AB0F8DCFFFFA2D|0
      на e-mail адрес yvonne.vancese1982@gmail.com .
      Тогда вы получите все необходимые инструкции.
      Все попытки расшифровки сам приведет только к безвозвратной потере ваших данных.
      Если вы все еще хотите, чтобы попытаться расшифровать их сами, пожалуйста, сделайте резервную копию сначала, потому что
      расшифровка станет невозможна в случае каких-либо изменения внутри файлов.
      Если Вы не получили ответа от вышеупомянутый электронной почты для более чем 48 часов (и только в этом случае!),
      используйте форму обратной связи. Вы можете сделать это двумя способами:
      1) Скачать Тор браузер здесь:
      https://www.torproject.org/download/download-easy.html.en
      Установите его и введите следующий адрес в адресную строку:
      http://cryptsen7fo43rr6.onion/
      Нажмите клавишу ввод, а затем страница с формой обратной связи будут загружены.
      2) перейти на один из следующих адресов в любом браузере:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
      CollectionLog-2017.11.30-01.03.zip
×
×
  • Создать...