Перейти к содержанию

[РЕШЕНО] Прошу помощи в расшифровке файлов


Рекомендуемые сообщения

Доброго времени. Помогите с дешифровкой. К названиям файлов добавилось ".id-820367C7.[bitcharity@protonmail.com].com". И конечно же их нельзя открыть. Буду ОЧЕНЬ благодарен если вопрос решится. 

Вот пару зашифрованных файлов

https://drive.google.com/open?id=1QaXnqLM_fayx5cRcIDMM_eSWppunwq0q

Ссылка на сообщение
Поделиться на другие сайты

Dharma (.cezar Family), расшифровки нет. Будет только очистка следов и мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '');
 DeleteSchedulerTask('Pbrowserupd');
 DeleteFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Regedit32', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

KLAN-9968884346

Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

Our antivirus databases do not contain the specified URLs:
hxxps://www[.]avast[.]com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Ссылка на сообщение
Поделиться на другие сайты

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ждём.
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Включите Восстановление системы.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
    S2 ahqjuafp; C:\WINDOWS\SysWOW64\ahqjuafp\feuqxty.exe [X]
    S1 czzhunat; \??\C:\WINDOWS\system32\drivers\czzhunat.sys [X]
    S1 dzndboaj; \??\C:\WINDOWS\system32\drivers\dzndboaj.sys [X]
    FirewallRules: [{5C802FB9-E6A3-4714-A009-8355775BFB7C}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{A322E6D2-50ED-41A7-ADC0-AF740954B02A}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [TCP Query User{55B2F323-0A81-405A-8316-D10866419A2F}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
    FirewallRules: [UDP Query User{7211623B-50E4-4DFA-8CEB-300F7D92E91A}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Есть. Только компьютер не перезагрузился.

Я делал так: на флешку скинул frst64.exe и код в файле  fixlist.txt. 

Далее отключил антивирус и "Используя меню "Параметры". Выбрать правой клавишей мыши меню "Пуск" - "Параметры" - меню "Обновление и безопасность" - "Восстановление" - нажать на кнопку перезагрузить сейчас."

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter". 

Далее всё по тексту запуск от админа и вот он файл.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter"

Это всё не верно. Восстановление системы у вас отключено и нужно было только его включить.

 

post-7386-0-02992600-1557300040_thumb.png

 

Повторите ещё раз фикс в обычном режиме.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Zalegg
      От Zalegg
      Здравствуйте. Не могу определить что за тип шифровальщика. Поисковик по расширению .harward не находит ничего.  Шифровальщик оставляет послание FILE ENCRYPTED.txt с содержимым:

      Прошу помощи в дешифровке. Во вложении архив с зашифрованными файлами и оригиналом одного зашифрованного файла. Пароль на архив в соответствии с правилами
       
      Файлы.rar
    • Devin
      От Devin
      Все файлы на Google диске зашифрованы вымогателем, который не определяется. Видимо новый?
      Ко всем именам файлов к расширению добавляется: aaMp0vbm9
      В файле txt указана почта вымогателя: carabas1337@proton.me
      Подпись в файле txt: carabas
      В процессе переписки вымогатель предлагает поторговаться. Начинает торги с 20 000$.
      Высланный мной на почту вымогателя зашифрованный файл бы возвращен декодированным.
    • YourWaifuLola
      От YourWaifuLola
      Добрый день!
      Прошу помощи с расшифровкой файлов,они давно зашифрованы и говорили,что их уже не спасти,но надеюсь на вашу помощь ! Очень большое кол-во личных и семейных фото под шифровкой :с
      Переустановка ОС была. 
      Заранее благодарю и надеюсь на вас!
      прикрепляю для примера несколько зашифрованных файлов 
      Архив WinRAR (3).rar
    • Demowallap
      От Demowallap
      Добрый день! После обновления 1с все файлы на сервере зашифровались. Расширение у файлов [Hunter_or_faggot].Horsefucker
      Файлы согласно инструкции прилагаю. 
      Ожидаем обратную связь
      Логи и зашифрованные файлы.7z
    • IDler
      От IDler
      Друзья, добрый день!
      Достаточно давно поймали вирус (судя по дате файлов, февраль 2019), после чего сказать сложно. Файлы так и лежали зашифрованными, решили попытать удачу и попробовать найти решение проблемы.
      Переустановки ОС не было. Как объясняет получатель данного вируса, никаких окон блокировок не было, что удивительно. Просто в какой-то момент захотели просмотреть фоточки - однако увы.
      Заранее благодарен.
      Запрос о помощи оформляю впервые, надеюсь без ошибок. 
      Addition.txt FRST.txt kaspersky запрос.zip
×
×
  • Создать...