VitProff 0 Опубликовано 5 августа, 2019 Share Опубликовано 5 августа, 2019 Обратился ко мне клиент с зашифрованными файлами шифровальщиком который переименовал файлы и прописал расширение CRYPTED000007. Мне уже несколько раз помогли на этом и на других форумах с расшифровкой разных шифровальщиков за что Всем огромное спасибо. Теперь попался мне этот шифровальщик. Читал что расшифровки нет но все же создам тему. Возможно кто-то сможет помочь.Прикрепляю результат работы AutoLogger CollectionLog-2019.08.05-14.58.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 5 августа, 2019 Share Опубликовано 5 августа, 2019 Здравствуйте! Читал что расшифровки нетЭто так, её по-прежнему нет. В логах видны следы, почистим. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\PROGRA~3\SysWOW64\rwORTuf.cmd', ''); QuarantineFile('C:\ProgramData\Resources\svchost.exe', ''); QuarantineFile('C:\ProgramData\services\csrss.exe', ''); DeleteFile('C:\PROGRA~3\SysWOW64\rwORTuf.cmd', '32'); DeleteFile('C:\PROGRA~3\SysWOW64\rwORTuf.cmd', '64'); DeleteFile('C:\ProgramData\Resources\svchost.exe', '64'); DeleteFile('C:\ProgramData\services\csrss.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe', 'command', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager', 'command', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
VitProff 0 Опубликовано 5 августа, 2019 Автор Share Опубликовано 5 августа, 2019 Спасибо за ответ!Я сделаю образ системы и файлов клиента и сохраню у себя.Буду ждать когда появится дешифратор поскольку файлы очень важные у клиента. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 5 августа, 2019 Share Опубликовано 5 августа, 2019 Не Ваш ли это клиент https://virusinfo.info/showthread.php?t=223338? 1 Ссылка на сообщение Поделиться на другие сайты
VitProff 0 Опубликовано 5 августа, 2019 Автор Share Опубликовано 5 августа, 2019 Да это он. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти