ransom.shade [РЕШЕНО] Шифровальщик crypted000007

28 мая, 2019

Добрый вечер, соседка предпринимательница, взрослая женщина открыла письмо от "налоговой" и словила шифровальщик, антивируса не было, все семейные фото, бд 1с, всё накрылось... насколько я понял безвозвратно?

Baшu файлы были зaшифpовaны.
Чmoбы pacшифровamь ux, Вaм необxoдuмo oтпpавuть кoд:
EBEABF84FCAD7BF8196A|0
на элeктрoнный адрeс novikov.vavila@gmail.com .
Далеe вы noлучиmе вcе необxодимыe uнстpукциu.
Попыmku рaсшифровamь caмосmoятeльно не пpивeдуm нu k чeмy, kромe безвозвpаmной потeри информaциu.
Еcлu вы вcё жe xоmитe попыmатьcя, mо nредвaрительнo cдeлайте pезеpвные kоnuи файлов, uнaче в cлучae
иx uзмeнения расшuфpовка cтaнeт нeвoзмoжной ни npи kаkиx ycлoвиях.
Если вы не noлyчuлu omветa no вышeyкaзaннoмy aдреcy в mечeние 48 часoв (и mолькo в этом слyчaе!),
вoсnoльзyйmeсь фopмoй oбраmной связu. Этo можнo cдeлаmь двyмя cnоcобaмu:
1) Сkачaйте и yсmанoвиmе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В aдpecнoй стрoкe Tor Browser-а введuте адpec:
http://cryptsen7fo43rr6.onion/
u нaжмuтe Enter. Зarpyзuтcя сmpaнuцa с фoрмой обраmной cвязu.
2) B любoм бpаyзеpe nерейдите nо однoму uз адpесов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2019.05.28-20.00.zip

Изменено 28 мая, 2019 пользователем a_shi

28 мая, 2019

Здравствуйте.

Предпринимательница, а используем пиратский антивирус от Eset. Деинсталлируйте:



TNod User & Password Finder

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).



F2-32 - HKLM\..\WinLogon: [Shell] = 

F2-32 - HKLM\..\WinLogon: [UserInit] = 

O4 - MSConfig\startupreg: DriverPack Cloud [command] = C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run startup (HKLM) (2017/12/06) (file missing)

O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F

O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.68 Online" "1506537054340" "dfd1a184-83ed-46f4-8934-32a731592936"

O22 - Task: DriverPack Cloud - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe (file missing)

O22 - Task: DriverPack Cloud Admin - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run admin-scheduler (file missing)

O22 - Task: DriverPack Cloud Autoupdate - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run autoupdate --validate (file missing)

O22 - Task: DriverPack Cloud Event Trigger - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -File "C:\Users\ret\AppData\Roaming\DriverPack Cloud\trigger-get.ps1"

Сделайте новые логи.

28 мая, 2019

@mike 1,

CollectionLog-2019.05.28-23.38.zip

1 июня, 2019

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

1 июня, 2019

@mike 1, есть

Addition.txt

FRST.txt

1 июня, 2019

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

Task: {742BF564-21CD-4965-AF6F-16BB0E9B8672} - \Language Render Mgr -> No File <==== ATTENTION

OPR StartupUrls: "hxxp:\/\/granena.ru\/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=FB845D1BFDA8F98C772939658076041F&utm_d=20170422","hxxps:\/\/www.yandex.ru\/?win=366&clid=2333741-225"

2019-05-28 16:32 - 2019-05-28 16:33 - 000005120 __SHC C:\Users\ret\AppData\Roaming\Thumbs.db

2019-05-27 17:32 - 2019-05-28 13:24 - 000000000 __SHD C:\Users\Все пользователи\Resources

2019-05-27 17:32 - 2019-05-28 13:24 - 000000000 __SHD C:\ProgramData\Resources

2019-05-27 17:32 - 2019-05-27 17:32 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64

2019-05-27 17:32 - 2019-05-27 17:32 - 000000000 __SHD C:\ProgramData\SysWOW64

2019-05-27 15:26 - 2019-05-27 15:26 - 006220854 ____C C:\Users\ret\AppData\Roaming\D939B7CDD939B7CD.bmp

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README9.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README8.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README7.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README6.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README5.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README4.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README3.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README2.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README10.txt

2019-05-27 11:29 - 2019-05-28 13:24 - 000000000 __SHD C:\Users\Все пользователи\Windows

2019-05-27 11:29 - 2019-05-28 13:24 - 000000000 __SHD C:\ProgramData\Windows

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

1 июня, 2019

@mike 1, Сделано. Дата_время.zip не было.

Fixlog.txt

1 июня, 2019

Смените все пароли. С расшифровкой не поможем.

1 июня, 2019

@mike 1, понял, спасибо!

1 июня, 2019

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

ransom.shade [РЕШЕНО] Шифровальщик crypted000007

Рекомендуемые сообщения

a_shi

mike 1

a_shi

mike 1

a_shi

mike 1

a_shi

mike 1

a_shi

mike 1

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum