Решена зашифрованы ворд, эксель и jpeg

Тема в разделе "Лечение компьютерных вирусов", создана пользователем snow, 24 окт 2012.

Статус темы:
Закрыта.
  1. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    вирус зашифровал файлы ворд,эксель и jpeg.
    Авира нашла (поздновато конечно) : tr/spy.118784.595, tr/kryptik.kgb.2, tr/spy.118784.595 и еще tr/Symmi.3602.1 . что из этого навредила незнаю, но лезли они одновременно судя по авире.
    удалила error.exe
    все необх файлы прилагаю. есть еще jpeg, но они большие.
     

    Вложения:

    • info.txt
      Размер файла:
      27,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      24,3 КБ
      Просмотров:
      2
    • ориг+шифр.rar
      Размер файла:
      72,8 КБ
      Просмотров:
      5
    • virusinfo.rar
      Размер файла:
      52,7 КБ
      Просмотров:
      3
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую snow, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Windows\System32\АHTОMSYS19.exe','');
     QuarantineFile('C:\Users\Евгений\0.1216381764413782.exe','');
     QuarantineFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE','');
     QuarantineFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll','');
     DeleteFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll');
     DeleteFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE');
     DeleteFile('C:\Users\Евгений\0.1216381764413782.exe');
     DeleteFile('C:\Windows\System32\АHTОMSYS19.exe');
     DeleteFileMask('C:\Users\Евгений\Documents\Iterra\', '*.*', true);
     DeleteDirectory('C:\Users\Евгений\Documents\Iterra\');
     DeleteFileMask('C:\ProgramData\4Ago0zj10kU', '*.*', true);
     DeleteDirectory('C:\ProgramData\4Ago0zj10kU');
     DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinDefend\Parameters','ServiceDll');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве


    Файлы сейчас поглядим
     
  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Файлы зашифрованы с использованием алгоритма Blowfish
     
  5. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    от этого мне не легче к сожалению. скажите лучше как расшифровать файлы.
     
  6. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    все сделал правильно вроде. карантин отправил через форму, если надо могу продублировать. лог mbam прилагаю.
     

    Вложения:

  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Повторите сканирование в MBAM и удалите все кроме следующего:

    Код (Text):
    C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2164 -> Действие не было предпринято.
    C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    C:\Install\Office\WinRAR 3.91 Beta 2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    Это означает, что расшифровка до оригинального вида невозможна.

    Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.
     
  8. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    документов(ворд, эксель) около 2 наверно. а вот фоток порядка 150гб
    наверно лучше подсказать проги нужные.
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Пробуйте:

    Если не получилось отпишитесь здесь и ждите ответа.
    Если ответ будет отрицательным тогда все что под спойлером, но это в самую последнюю очередь.

    Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

    Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

    Для документов небольших размеров можно использовать демо-версии officerecovery:
    Восстановить документ Word
    Восстановить файл Excel

    для больших документов только платную версию.

    Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.

    У меня не получалось таким образом восстановить doc и получалось docx.

    Эту же операцию по замене байтов можно выполнить с помощью dd for windows

    Командуем в консоли:

    Код (Text):
    dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"
     
  10. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    c mbam'ом разобрался, все что сказано удалил.
    а вот с te162decrypt что-то неочень (статус е000006а ), говорит что зашифрованные файлы найдены, но ключ неподошёл. предлагают запустить из отдельной папки, предварительно положив рядом зашифрованный файл и оригинал.
    А как положить в одну папку одноименные файлы?
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Ок значит ошибка, ожидайте ответа
     
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Это означает, что расшифровка вообще НЕВОЗМОЖНА
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Саш отчасти возможна не всех файлов но все же 100 байт же пошифровано. Я подменял в docx из других файлов в хексе и доки открывались.
     
  14. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    получается мне сейчас в каждом файле байты менять? ничего полегче уже не будет?
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Пробуйте поместить в папку с зашифрованными файлами несколько оригинальных копий и снова запустить tedecrypt - если не поможет, то способы и утилиты описаны под спойлером в сообщении выше.

    На данный момент вирусные аналитики больше ничем вам не помогут.

    Можете написать заявление в полицию о компьютерном мошенничестве.
     
  16. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    а толк будет от этого заявления? врядли поймают ведь.
     
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Это я уже не могу вам рассказать. Пробовали все способы?
     
  18. snow
    Оффлайн

    snow Пользователь

    Сообщения:
    14
    Симпатии:
    0
    байты пока не менял
    jpeg восстанавливаюся многие, эксель без форматирования и формул( но другой программой)
     
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Тему ставить решенной?
     
  20. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Это понятно. Но лично для меня - это половинчатое решение. Хотя кому-то и такое будет за счастье
     
Статус темы:
Закрыта.

Поделиться этой страницей