Перейти к содержанию

[РЕШЕНО] Шифровальщик crypted000007

a_shi
 Поделиться

Рекомендуемые сообщения

a_shi

a_shi

Опубликовано
Опубликовано (изменено)

Добрый вечер, соседка предпринимательница, взрослая женщина открыла письмо от "налоговой" и словила шифровальщик, антивируса не было, все семейные фото, бд 1с, всё накрылось... насколько я понял безвозвратно?

Baшu файлы были зaшифpовaны.

Чmoбы pacшифровamь ux, Вaм необxoдuмo oтпpавuть кoд:
EBEABF84FCAD7BF8196A|0
на элeктрoнный адрeс novikov.vavila@gmail.com .
Далеe вы noлучиmе вcе необxодимыe uнстpукциu.
Попыmku рaсшифровamь caмосmoятeльно не пpивeдуm нu k чeмy, kромe безвозвpаmной потeри информaциu.
Еcлu вы вcё жe xоmитe попыmатьcя, mо nредвaрительнo cдeлайте pезеpвные kоnuи файлов, uнaче в cлучae
иx uзмeнения расшuфpовка cтaнeт нeвoзмoжной ни npи kаkиx ycлoвиях.
Если вы не noлyчuлu omветa no вышeyкaзaннoмy aдреcy в mечeние 48 часoв (и mолькo в этом слyчaе!),
вoсnoльзyйmeсь фopмoй oбраmной связu. Этo можнo cдeлаmь двyмя cnоcобaмu:
1) Сkачaйте и yсmанoвиmе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В aдpecнoй стрoкe Tor Browser-а введuте адpec:
http://cryptsen7fo43rr6.onion/
u нaжмuтe Enter. Зarpyзuтcя сmpaнuцa с фoрмой обраmной cвязu.
2) B любoм бpаyзеpe nерейдите nо однoму uз адpесов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2019.05.28-20.00.zip

Изменено пользователем a_shi
mike 1

mike 1

Опубликовано
Опубликовано
Здравствуйте.

 

Предпринимательница, а используем пиратский антивирус от Eset.  Деинсталлируйте:




TNod User & Password Finder


Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 




F2-32 - HKLM\..\WinLogon: [Shell] = 

F2-32 - HKLM\..\WinLogon: [UserInit] = 

O4 - MSConfig\startupreg: DriverPack Cloud [command] = C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run startup (HKLM) (2017/12/06) (file missing)

O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F

O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.68 Online" "1506537054340" "dfd1a184-83ed-46f4-8934-32a731592936"

O22 - Task: DriverPack Cloud - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe (file missing)

O22 - Task: DriverPack Cloud Admin - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run admin-scheduler (file missing)

O22 - Task: DriverPack Cloud Autoupdate - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run autoupdate --validate (file missing)

O22 - Task: DriverPack Cloud Event Trigger - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -File "C:\Users\ret\AppData\Roaming\DriverPack Cloud\trigger-get.ps1"


 

Сделайте новые логи. 

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

Task: {742BF564-21CD-4965-AF6F-16BB0E9B8672} - \Language Render Mgr -> No File <==== ATTENTION

OPR StartupUrls: "hxxp:\/\/granena.ru\/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=FB845D1BFDA8F98C772939658076041F&utm_d=20170422","hxxps:\/\/www.yandex.ru\/?win=366&clid=2333741-225"

2019-05-28 16:32 - 2019-05-28 16:33 - 000005120 __SHC C:\Users\ret\AppData\Roaming\Thumbs.db

2019-05-27 17:32 - 2019-05-28 13:24 - 000000000 __SHD C:\Users\Все пользователи\Resources

2019-05-27 17:32 - 2019-05-28 13:24 - 000000000 __SHD C:\ProgramData\Resources

2019-05-27 17:32 - 2019-05-27 17:32 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64

2019-05-27 17:32 - 2019-05-27 17:32 - 000000000 __SHD C:\ProgramData\SysWOW64

2019-05-27 15:26 - 2019-05-27 15:26 - 006220854 ____C C:\Users\ret\AppData\Roaming\D939B7CDD939B7CD.bmp

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README9.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README8.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README7.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README6.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README5.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README4.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README3.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README2.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README10.txt

2019-05-27 11:29 - 2019-05-28 13:24 - 000000000 __SHD C:\Users\Все пользователи\Windows

2019-05-27 11:29 - 2019-05-28 13:24 - 000000000 __SHD C:\ProgramData\Windows

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

mike 1

mike 1

Опубликовано
Опубликовано

Смените все пароли. С расшифровкой не поможем.

  • Спасибо (+1) 1
mike 1

mike 1

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Светлана123
      Вирус шифровальщик
      Автор Светлана123
      Прошу помочь в расшифровке файлов
      CollectionLog-2017.05.13-11.47.zip
    • metrolog_181
      Зашифровал все crypted000007
      Автор metrolog_181
      Добрый день! Нарвался на вирус скачав письмо с почты. Вирус зашифровал все фото, видео, музыку, текстовые документы
      CollectionLog-2017.05.02-10.06.zip
    • 500razlamer
      ShadeDecryptor оказался бесполезен
      Автор 500razlamer
      Зашифрованные файлы, видео, аудио и изображения) с расширением .xtbl лежат уже давно. Файл README1.txt также был сохранен. К сожалению, ShadeDecryptor оказался бесполезен, т.к. не смог найти ключ для расшифровки. Чем-то можно помочь?
       
      11:40:01.0742 0x0444  Trojan-Ransom.Win32.Shade decryptor tool 1.1.0.2 Jun  8 2016 16:43:09
      ...
      11:40:02.0102 0x0444  ============================================================
      11:40:02.0149 0x0444  Initialize success
      11:40:59.0383 0x1778  Using ID 7A9AF0405A282593E45E from the ransom note: D:\backRender\README1.txt
      11:41:11.0037 0x1778  No keys found for the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
      11:41:16.0723 0x1778  Cannot initialize decryptor on the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
       
      ------------------------------------------------------------------------------
      Логи, требуемые правилами создания запроса, прилагаются.
      CollectionLog-2017.05.11-10.00.zip
    • AndreyRTN2
      Зашифрованы файлы на ПК
      Автор AndreyRTN2
      Доброго времени суток.
       
      Сегодня при загрузке компьютера было обнаружены зашифрованные файлы с расширением
      "различные символы".NO_MORE_RANSOM множеством файлов README и черным экраном с оповещением о заражении.
      Kaspersky Endpoint Security 10 обнаружил trojan-ransom.win32.shade
       
      Заражение произошло при клике по ссылке в почте якобы от сбербанка.
       
      Прошу помочь в решении проблемы
       
       
      Addition.txt
      FRST.txt
    • Max0n
      шифровальщик no_more_ransom
      Автор Max0n
      Добрый день !
       
      Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js 
      После запуска файла вирус начал переименовывать файлы по следующему образцу: 
      XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom
       
      Процесс был прерван, но часть файлов вирус успел переименовать. 
      Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено).  
       
      Во вложении архив с зашифрованными файлами и логи проверки AutoLogger
       
      Возможно ли восстановить зашифрованные файлы ? 
      CollectionLog-2017.05.12-12.42.zip
      зашифрованные файлы.zip
×
×
  • Создать...