crusis.to [БЕЗ РАСШИФРОВКИ] шифровальщик [openpgp@foxmail.com].pgp

[Player12]

Здравствуйте!

Просьба помочь с восстановлением данных. Вчера зашифровались почти все файлы. Вирус открыл для доступа все локальные диски и внешний диск подключенный к роутеру. До другого компьютера подключенному у домашней сети вирус не добрался. Скорее всего нажали на файл NS.exe который каким-то образом оказался на рабочем столе. 

 

Цитата

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

 

 

Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

 

Не надо выкладывать на форум вредоносные файлы!

 

CollectionLog-2020.06.12-14.39.zip Screenshot_2020-05-25-10-10-19-949_com.wordoffice.docx.docs.docxreader.freeword.png.id-946A71FD.[openpgp@foxmail.com].pgp

Изменено 12 июня, 2020 пользователем mike 1
Карантин в теме

[Sandor]

Здравствуйте!

 

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.

Можем только помочь очистить систему от его следов, нужно?

[Player12]

Давайте очистим. Возможно ли при этой ситуации как-нибудь восстановить файлы? Насколько вероятно что будет расшифровка в ближайшее время?

[akoK]

Нет, увы. Или иметь дело с преступниками, или посредниками.

Изменено 12 июня, 2020 пользователем akoK

[Player12]

Если создать резервную копию файлов, есть шанс что когда появится расшифровщик их можно будет восстановить?

[LuxeonSl]

Странно конечно но есть сайт где могут помочь расшифровать я отправил им файл на расшифровку и они очень быстро его расшифровали, но ценник в 200000 р как то разорителен, но смущает как у таких гигантов как Касперский, др,вэб, аванс нет дешифратора а у 1го человека есть, ну и скорость расшифровки так сказать космическая, есть подозрение что это 1 человек )  уже готов купить готовую подписку на антивирус если помогут с расшифровкой

[akoK]

16 часов назад, Player12 сказал:

Если создать резервную копию файлов, есть шанс что когда появится расшифровщик их можно будет восстановить?

Только если преступник сам опубликует ключи. Но такие прецеденты были, так, что сохраните.

 

13 часов назад, LuxeonSl сказал:

Странно конечно но есть сайт где могут помочь расшифровать я отправил им файл на расшифровку и они очень быстро его расшифровали, но ценник в 200000 р как то разорителен, но смущает как у таких гигантов как Касперский, др,вэб, аванс нет дешифратора а у 1го человека есть, ну и скорость расшифровки так сказать космическая, есть подозрение что это 1 человек )  уже готов купить готовую подписку на антивирус если помогут с расшифровкой

 

Тут нужно обратиться к справке, а именно к понятию: Криптографическая стойкость — свойство криптографического шифра противостоять криптоанализу, то есть анализу, направленному на изучение шифра с целью его дешифрования. Для изучения криптоустойчивости различных алгоритмов была создана специальная теория, рассматривающая типы шифров и их ключи, а также их стойкость. 

 

Если проще, то используется надежный алгоритм шифрования. А из этого делается вывод, что человек, который пытается продать дешифровку связан с преступниками и скорее всего является посредником, который имеет свой процент от сделки (отсюда и огромный ценник). В некоторых случаях можно восстановить БД 1с, т.к. шифровальщик не шифрует большую базу целиком.... с обычными файлами так не работает.

[Sandor]

18 часов назад, Player12 сказал:

Давайте очистим

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится. 

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Player12]

FRST.txtAddition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  GroupPolicy: Restriction ? <==== ATTENTION
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  BHO: No Name -> {A6004AC2-D4EC-4092-AC2D-FF3AEE50CED1}' -> No File
  BHO-x32: No Name -> {A6004AC2-D4EC-4092-AC2D-FF3AEE50CED1}' -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[Player12]

Fixlog.txt

[Sandor]

Достаточно было один раз выполнить фикс.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Player12]

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для обычных пользователей отключен
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45665 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
µTorrent v.3.5.4.44520 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 9 ActiveX v.9.0.115.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.77.0.3865.90 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.19 v.3.1.19 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 5.5.1.844 v.5.5.1.844 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Media v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Kerish Doctor 2020 v.4.80 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

В логах с этой системы следов вымогателя не замечено.

 

Читайте Рекомендации после удаления вредоносного ПО

[Soft]

Сообщение от модератора Soft

Пост вынесен в отдельную тему.