как дешифровать файлы .crypted

[Alexey2020]

Доброго времени!

Просьба помочь какой утилитой можно дешифровать испорченные вирусом файлы?

Просканировал утилитой Virus Removal Tool...угроз не обнаружилось...

[SQ]

Здравствуйте,

Если это GlobeImposter2, c расшифровкой помочь не сможем.

«Порядок оформления запроса о помощи».

[Alexey2020]

Здравствуйте,

 

Если это GlobeImposter2, c расшифровкой помочь не сможем.

 

«Порядок оформления запроса о помощи».

А как определить что "это"?

[thyrex]

Ждем логи по правилам

[Alexey2020]

Логи прикрепил...

CollectionLog-2019.07.15-23.23.zip

[SQ]

Похоже файлы обнулены,если ориентировать на файл hosts.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

Могли бы приложить файлы вымогателей.

 

[Alexey2020]

Спасибо, сделал...Все файлы в архиве

файлы.rar

[SQ]

Похоже у Вас - ShkolotaCrypt. На сколько мне известно на данный момент нет публичных решений по данному типу шифровальщика. Попробуйте обратиться в тех. поддержку при наличие лицензии на продукты Kaspersky, согласно следующей инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Сами настраивали локальную политику?

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1933739545-1249923222-874831802-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: D:\CA_LIC\lic98Service.exe
  File: D:\CA_LIC\LogWatNT.exe
  HKLM-x32\...\Run: [Adobe Flash Player SU] => [X]
  HKLM-x32\...\Run: [] => [X]
  File: C:\Program Files (x86)\Xfire\Xfire.exe
  FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
  Folder: C:\ProgramData\Key-Base
  File: C:\Windows\Setup1.exe
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Alexey2020]

Лицензии нет(

Относительно локальной политики не уверен...несколько пользователей у компа, но вирус был запущен с exe-шника(

Файл прикрепил....

Fixlog.txt

Изменено 16 июля, 2019 пользователем Alexey2020

[SQ]

Относительно локальной политики не уверен...несколько пользователей у компа, но вирус был запущен с exe-шника(

Файл прикрепил....

Вирус был запущен пользователями или злоумышлинниками? Вам удалось понять как это произошло?

 

Уточните пожалуйста какой файл вы прикрепили, в предыдущем сообщение нет прикрепленных файлов, скорее всего вы не нажали загрузить.

 

P.S. Только пожалуйста не прикрепляйте вредоносное ПО к сообщениям.

[Alexey2020]

 

Относительно локальной политики не уверен...несколько пользователей у компа, но вирус был запущен с exe-шника(

Файл прикрепил....

Вирус был запущен пользователями или злоумышлинниками? Вам удалось понять как это произошло?

 

Уточните пожалуйста какой файл вы прикрепили, в предыдущем сообщение нет прикрепленных файлов, скорее всего вы не нажали загрузить.

 

P.S. Только пожалуйста не прикрепляйте вредоносное ПО к сообщениям.

 

Вирус был запущен пользователем (exe -шник запустили). Повторно прикрепляю файл Fixlog.txt

Fixlog.txt

[thyrex]

Вирус был запущен пользователем (exe -шник запустили)

Файл сохранился?

[Alexey2020]

 

Вирус был запущен пользователем (exe -шник запустили)

Файл сохранился?

 

Да, куда его можно выслать?

[Sandor]

Упакуйте в архив с паролем virus и отправьте личным сообщением @thyrex

[Alexey2020]

Упакуйте в архив с паролем virus и отправьте личным сообщением @thyrex

Спасибо, отправил...