Перейти к содержанию

[РЕШЕНО] Прошу помощи в расшифровке файлов

serg1981
 Share

Рекомендуемые сообщения

serg1981 Новичок

serg1981

Опубликовано
Опубликовано

Доброго времени. Помогите с дешифровкой. К названиям файлов добавилось ".id-820367C7.[bitcharity@protonmail.com].com". И конечно же их нельзя открыть. Буду ОЧЕНЬ благодарен если вопрос решится. 

Вот пару зашифрованных файлов

https://drive.google.com/open?id=1QaXnqLM_fayx5cRcIDMM_eSWppunwq0q

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Dharma (.cezar Family), расшифровки нет. Будет только очистка следов и мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '');
 DeleteSchedulerTask('Pbrowserupd');
 DeleteFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Regedit32', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
serg1981 Новичок

serg1981

Опубликовано
  • Автор
Опубликовано

KLAN-9968884346

Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

Our antivirus databases do not contain the specified URLs:
hxxps://www[.]avast[.]com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ждём.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
S2 ahqjuafp; C:\WINDOWS\SysWOW64\ahqjuafp\feuqxty.exe [X]
S1 czzhunat; \??\C:\WINDOWS\system32\drivers\czzhunat.sys [X]
S1 dzndboaj; \??\C:\WINDOWS\system32\drivers\dzndboaj.sys [X]
FirewallRules: [{5C802FB9-E6A3-4714-A009-8355775BFB7C}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{A322E6D2-50ED-41A7-ADC0-AF740954B02A}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [TCP Query User{55B2F323-0A81-405A-8316-D10866419A2F}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
FirewallRules: [UDP Query User{7211623B-50E4-4DFA-8CEB-300F7D92E91A}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
serg1981 Новичок

serg1981

Опубликовано
  • Автор
Опубликовано

Есть. Только компьютер не перезагрузился.

Я делал так: на флешку скинул frst64.exe и код в файле  fixlist.txt. 

Далее отключил антивирус и "Используя меню "Параметры". Выбрать правой клавишей мыши меню "Пуск" - "Параметры" - меню "Обновление и безопасность" - "Восстановление" - нажать на кнопку перезагрузить сейчас."

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter". 

Далее всё по тексту запуск от админа и вот он файл.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter"

Это всё не верно. Восстановление системы у вас отключено и нужно было только его включить.

 

post-7386-0-02992600-1557300040_thumb.png

 

Повторите ещё раз фикс в обычном режиме.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Константин agromoll34
      Прошу помощи
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Marauders666
      Необходима помощь в расшифровке после Mimic
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Xynire
      HEUR:Trojan.Multi.GenBadur.genw Прошу помощь в Удалении
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
×
×
  • Создать...