• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена без расшифровки Поймал Cryptowall 3.0 на другом компьютере все файлы не видно

Aleksnyc

Новый пользователь
Сообщения
21
Симпатии
1
#1
Добрый день!
Пропали файлы на компе. При загрузке открывается блокнот и с страница браузера с текстом про RSA-2048 и Cryptowall 3.0.
С компьютером ничего не делал, только отключил от Интернета.
Собрал логи.
Помогите, пожалуйста.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,761
Симпатии
12,131
#3
Пока чистим только следы, для подбора дешифровщика нужна пара из зашифрованного файла и его нормальной версии (например из почты). Отдельно прикрепите файл с требованиями злоумышленника (на случай если фалы не попадут в карантин)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML', '');
QuarantineFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG', '');
QuarantineFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT', '');
QuarantineFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL', '');
DeleteFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML', '32');
DeleteFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG', '32');
DeleteFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT', '32');
DeleteFile('C:\Users\Windows\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL', '32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

Aleksnyc

Новый пользователь
Сообщения
21
Симпатии
1
#4
quarantine.zip отправил через форму
Архив с требованиями на quarantine <at> safezone.cc
Файлы не зашифрованы, их просто нет, но при запуске компьютера открывается IE и блокнот с требованиями.
Размер свободного места на диске похоже уменьшился.
В принципе нужные файлы сохранены, так что можно просто вылечить или на худой конец переустановить все.
 

akok

Команда форума
Администратор
Сообщения
14,761
Симпатии
12,131
#5
Размер свободного места на диске похоже уменьшился.
Тогда файлы удалены, можно попытаться восстановить их программой для восстановления файлов после удаления или из теневых копий (если они работают и не очищены).
Это наиболее простой вариант. Зловред после шифрования файлов удаляет себя (как правило)

о при запуске компьютера открывается IE и блокнот с требованиями.
После выполнения скрипта требования открываются?
 

akok

Команда форума
Администратор
Сообщения
14,761
Симпатии
12,131
#7
Тогда остатки убрали. И раз зловред удалил файлы (а у вас есть копии), то лечение завершаем, финальные рекомендации:
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,264
Симпатии
1,510
#8
+++

Для верности сделайте еще такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Aleksnyc

Новый пользователь
Сообщения
21
Симпатии
1
#9
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Закачал:
03DE5EA3EB92B7BD910B6435BE2732AD

Тогда остатки убрали. И раз зловред удалил файлы (а у вас есть копии), то лечение завершаем, финальные рекомендации:
Подготовьте лог лог SecurityCheck by glax24
прикрепил
Сообщения объединены:

Для верности сделайте еще такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
прикрепляю
 

Вложения

Последнее редактирование:

Aleksnyc

Новый пользователь
Сообщения
21
Симпатии
1
#11
тоже сделайте, пожалуйста.
Отчеты выложил в предыдущем сообщении. Не знаю почему, но сообщения объединились, хотя отсылал отдельно.
Прикрепляю еще раз
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,264
Симпатии
1,510
#12
"Фиксить" ничего не нужно.

Обновите антивирус v.10.2.5.3201 до актуальной версии 10.3.0.6294 и сделайте настройки по защите от шифрования.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player 2.1.0-git-20130309-0405 v.2.1.0-git-20130309-0405 Внимание! Скачать обновления
WinRAR 5.21 (32-bit) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent 3.3 build 29677 v.3.3 build 29677 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 ActiveX v.27.0.0.170 Внимание! Скачать обновления
Adobe Flash Player 27 PPAPI v.27.0.0.170 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.17.9.0.2081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
AusLogics BoostSpeed 9.1.3.0 v.9.1.3.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Manager v.3.0.7.25771 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 
Сверху Снизу