[РЕШЕНО] Шифровальщик crypted000007

[a_shi]

Добрый вечер, соседка предпринимательница, взрослая женщина открыла письмо от "налоговой" и словила шифровальщик, антивируса не было, все семейные фото, бд 1с, всё накрылось... насколько я понял безвозвратно?

Baшu файлы были зaшифpовaны.

Чmoбы pacшифровamь ux, Вaм необxoдuмo oтпpавuть кoд:
EBEABF84FCAD7BF8196A|0
на элeктрoнный адрeс novikov.vavila@gmail.com .
Далеe вы noлучиmе вcе необxодимыe uнстpукциu.
Попыmku рaсшифровamь caмосmoятeльно не пpивeдуm нu k чeмy, kромe безвозвpаmной потeри информaциu.
Еcлu вы вcё жe xоmитe попыmатьcя, mо nредвaрительнo cдeлайте pезеpвные kоnuи файлов, uнaче в cлучae
иx uзмeнения расшuфpовка cтaнeт нeвoзмoжной ни npи kаkиx ycлoвиях.
Если вы не noлyчuлu omветa no вышeyкaзaннoмy aдреcy в mечeние 48 часoв (и mолькo в этом слyчaе!),
вoсnoльзyйmeсь фopмoй oбраmной связu. Этo можнo cдeлаmь двyмя cnоcобaмu:
1) Сkачaйте и yсmанoвиmе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В aдpecнoй стрoкe Tor Browser-а введuте адpec:
http://cryptsen7fo43rr6.onion/
u нaжмuтe Enter. Зarpyзuтcя сmpaнuцa с фoрмой обраmной cвязu.
2) B любoм бpаyзеpe nерейдите nо однoму uз адpесов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2019.05.28-20.00.zip

Изменено 28 мая, 2019 пользователем a_shi

[mike 1]

Здравствуйте.

 

Предпринимательница, а используем пиратский антивирус от Eset.  Деинсталлируйте:

TNod User & Password Finder

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

F2-32 - HKLM\..\WinLogon: [Shell] = 

F2-32 - HKLM\..\WinLogon: [UserInit] = 

O4 - MSConfig\startupreg: DriverPack Cloud [command] = C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run startup (HKLM) (2017/12/06) (file missing)

O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F

O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.68 Online" "1506537054340" "dfd1a184-83ed-46f4-8934-32a731592936"

O22 - Task: DriverPack Cloud - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe (file missing)

O22 - Task: DriverPack Cloud Admin - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run admin-scheduler (file missing)

O22 - Task: DriverPack Cloud Autoupdate - C:\Program Files (x86)\DriverPack Cloud\DriverPackCloud.exe --run autoupdate --validate (file missing)

O22 - Task: DriverPack Cloud Event Trigger - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -File "C:\Users\ret\AppData\Roaming\DriverPack Cloud\trigger-get.ps1"

 

Сделайте новые логи. 

[a_shi]

@mike 1, 

CollectionLog-2019.05.28-23.38.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[a_shi]

@mike 1, есть

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

Task: {742BF564-21CD-4965-AF6F-16BB0E9B8672} - \Language Render Mgr -> No File <==== ATTENTION

OPR StartupUrls: "hxxp:\/\/granena.ru\/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=FB845D1BFDA8F98C772939658076041F&utm_d=20170422","hxxps:\/\/www.yandex.ru\/?win=366&clid=2333741-225"

2019-05-28 16:32 - 2019-05-28 16:33 - 000005120 __SHC C:\Users\ret\AppData\Roaming\Thumbs.db

2019-05-27 17:32 - 2019-05-28 13:24 - 000000000 __SHD C:\Users\Все пользователи\Resources

2019-05-27 17:32 - 2019-05-28 13:24 - 000000000 __SHD C:\ProgramData\Resources

2019-05-27 17:32 - 2019-05-27 17:32 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64

2019-05-27 17:32 - 2019-05-27 17:32 - 000000000 __SHD C:\ProgramData\SysWOW64

2019-05-27 15:26 - 2019-05-27 15:26 - 006220854 ____C C:\Users\ret\AppData\Roaming\D939B7CDD939B7CD.bmp

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README9.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README8.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README7.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README6.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README5.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README4.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README3.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README2.txt

2019-05-27 15:26 - 2019-05-27 15:26 - 000004154 ____C C:\Users\ret\Desktop\README10.txt

2019-05-27 11:29 - 2019-05-28 13:24 - 000000000 __SHD C:\Users\Все пользователи\Windows

2019-05-27 11:29 - 2019-05-28 13:24 - 000000000 __SHD C:\ProgramData\Windows

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[a_shi]

@mike 1, Сделано. Дата_время.zip не было.

Fixlog.txt

[mike 1]

Смените все пароли. С расшифровкой не поможем.

[a_shi]

@mike 1, понял, спасибо! 

[mike 1]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".