Перейти к содержанию
serg1981

[РЕШЕНО] Прошу помощи в расшифровке файлов

Рекомендуемые сообщения

Доброго времени. Помогите с дешифровкой. К названиям файлов добавилось ".id-820367C7.[bitcharity@protonmail.com].com". И конечно же их нельзя открыть. Буду ОЧЕНЬ благодарен если вопрос решится. 

Вот пару зашифрованных файлов

https://drive.google.com/open?id=1QaXnqLM_fayx5cRcIDMM_eSWppunwq0q

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dharma (.cezar Family), расшифровки нет. Будет только очистка следов и мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '');
 DeleteSchedulerTask('Pbrowserupd');
 DeleteFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Regedit32', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

KLAN-9968884346

Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

Our antivirus databases do not contain the specified URLs:
hxxps://www[.]avast[.]com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ждём.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Включите Восстановление системы.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    S2 ahqjuafp; C:\WINDOWS\SysWOW64\ahqjuafp\feuqxty.exe [X]
    S1 czzhunat; \??\C:\WINDOWS\system32\drivers\czzhunat.sys [X]
    S1 dzndboaj; \??\C:\WINDOWS\system32\drivers\dzndboaj.sys [X]
    FirewallRules: [{5C802FB9-E6A3-4714-A009-8355775BFB7C}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{A322E6D2-50ED-41A7-ADC0-AF740954B02A}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [TCP Query User{55B2F323-0A81-405A-8316-D10866419A2F}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
    FirewallRules: [UDP Query User{7211623B-50E4-4DFA-8CEB-300F7D92E91A}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть. Только компьютер не перезагрузился.

Я делал так: на флешку скинул frst64.exe и код в файле  fixlist.txt. 

Далее отключил антивирус и "Используя меню "Параметры". Выбрать правой клавишей мыши меню "Пуск" - "Параметры" - меню "Обновление и безопасность" - "Восстановление" - нажать на кнопку перезагрузить сейчас."

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter". 

Далее всё по тексту запуск от админа и вот он файл.

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter"

Это всё не верно. Восстановление системы у вас отключено и нужно было только его включить.

 

post-7386-0-02992600-1557300040_thumb.png

 

Повторите ещё раз фикс в обычном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, включить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От RomiruS
      Здравствуйте.
      Уже более двух лет у меня на компьютере файлы, которые были зашифрованы вымогателем "wannacry"
      Всё бы ничего, я бы давно всё снес.. Но семейные фото - всё, что мне нужно восстановить (около 160 гигов).
      Вымогателя увидел после возвращения с работы (компьютер был включен).
      Есть эти же файлы в двух видах (зашифрованные и расшифрованные), прикрепить не знаю как, не разрешает( Есть ли вообще какая-то надежда, что в будущем появиться дешифратор? Или эти файлы пропали навсегда? 
      Спасибо за внимание! 
      Неуязвимости Вам)
    • От Roman_Gu
      Добрый вечер, попался на вирусне - открыл ненадолго RDP.
      Все файлы зашифрованы с раширением:
      [id=r4o7xzk6fd]
      или
      [id=aa47s5dnus]
       
      Логи и файл "послание" прикрепил.
       
      Спасибо.
      CollectionLog-2019.04.30-01.13.zip
      READ-Me-Now.txt
    • От saylon
      Здравствуйте! Помогите с дешифровкой файлов. К названиям файлов добавилось lnk.id-6ABDFFD7.[bitcharity@protonmail.com].com
      Прикрепленый файл логов
    • От bluesrocker
      День добрый, нужна помощь!
       
      Поймали шифровальщик, шифрует с расширением *.bin
      Предположительно меняет дату зашифрованных файлов на 2010 год.
      Один файл для примера и записку прилагаю.
       
      Выключили машину, где он орудовал, больше файлов выдернуть не успели.
      files.zip
    • От house95
      День добрый. Проблема такого плана, на почту пришло довольно серьезное, на первый взгляд, письмо, с прикрепленным файлом. По незнанию этот файл был скачан, но, после того как мы поняли, что это спам, благополучно удален. Через несколько часов появилась такая картина(указанная на скринах), поменялся рабочий стол, на картинку с требованиями, и на раб. столе и появилось 10 ридми файлов с требованиями. В итоге все аудио, видео, фото и текстовые документы были, как сказано зашифрованы(название превратилось в какую-то абракадабру с расширением crypted000007. После поиска решения этой проблемы в интернете, я понял, что проблема довольно распространенная, и явного ответа, как, самое главное, вернуть все файлы в исходный вид, я не получил. Может уже появилось-то какое-то решение данной проблемы? Дешифратор, или еще что-то. Спасибо 




×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.