Решена без расшифровки Родственники попались на шифратора "Риба"

[Moxito]

Здравствуйте!
На рабочем столе им передали файл Riba.cmd. Они открыли, был запрос адм. прав, они приняли. АВ был защитник.
Пошёл шифровать всё что мог.
Сначала как я понял по словам вылазили окна о ошибке блок. клавы и мыши.
Затем они перезапустились и успели закрыть окно кмд.
Не смогли открыть ни проводник, ни блокнот, блокнот восстановил. Остальное не в моих силах.
Как я понял скинули файл в скайп (Видимо школоло) якобы фиксер проблем, они перенесли с другого пк)
Архив zip открывается как batник.
Повреждены ассоциации. Открыть папку с загрузками не удалось - ошибка.
Открыл установщик тотал командера и запустил.
В итоге шифровальщик не успел зашифровать из-за выключения компа.
При моей попытке старта в безоп. режиме комп стартанул в обычном, возможно стоит офф на безоп. реж.
Выбивает сбщ:
WARNING!
ALL YOUR FILES ARE ENCRYPTED!
TO DECRYPT:
SEND D-MAIL TO
banda.decryptor@gmail.com
WITH TEXT
Decrypting

Свяжусь наверное с бандой декриптором для интереса

Заранее спасибо!

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\123\Desktop\Rida.cmd', '');
 DeleteFile('C:\Users\123\Desktop\Rida.cmd', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32', '64');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(8);
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

Также не помешает выполнить п.2 правил этого раздела.

 

[Moxito]

Также не помешает выполнить п.2 правил этого раздела

Если не ошибаюсь это отправить зашифр. файлы. Их нет из-за "перезагрузки" во время действий.

 

[akok]

Теневые копии или программы по восстановлению данных?

 

[Moxito]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

не могу открыть папку с авз.

Cобственно блокиратор отработал, запустил сегодня ПК и теперь бесконечно закрываются приложения, безоп. режим не работает. Ничего сделать не могу.

 

[akok]

Случаем исполняемые файлы не попортило?

https://safezone.cc/threads/sozdani...-dlja-sbora-logov-s-neaktivnoj-sistemy.16024/ - тогда как-то так

 

[Moxito]

С помощью livecd восстановил безопасный режим в системе, через него выполню действия

Файлы не испортило (именно системные нет, а с другими не знаю)

отправил
сейчас чекаю на шифрованное

зеленые, видимо чипер

есть rida.cmd в корне диска

кстати ассоциации сбиты

Теневые копии или программы по восстановлению данных?

Все бэкапы и копии удалены вирусом

 

[Moxito]

лог новый

 

[Moxito]

Не знаю, может проще купить за 500р дешифровальщик? Т.к. особо ничего не было и они сделали скидку)
Они предупредили что ассоциации они не восстановят из-за незнания версии ОС.

 

[akok]

Не знаю, может проще купить за 500р дешифровальщик?

А что дешифровать будешь если файлов нет? А размер диска изменился?

 

[akok]

И зачем лог с виртуалки?

VirtualBox Guest Additions Service

 

[akok]

Где образцы зашифрованных файлов?

 

[Moxito]

Виртуальная машина у них одна и "самая важная", ведь на ней делают что-то важное, и переустанавливал недавно.
С реальной машины попро нечего брать, ни образа (удалили), ни чего либо.
Короче, сказали фиксить виртуалку из-за того что она им важная. Если надо разузнаю больше инфы. Завтра образцы

 

[Moxito]

А что дешифровать будешь если файлов нет?

Ну там же пошифровано.

А размер диска изменился?

Я так прям не присматривался к размеру.
Сейчас скину шифрованные

почти гб, аккуратно

 

[akok]

Подготовьте несколько небольших зашифрованных файлов (двух будет достаточно)

А не половину виртуалки. Тем более я не нашел ни одного зашифрованного файла в архивах.

 

[Moxito]

А не половину виртуалки. Тем более я не нашел ни одного зашифрованного файла в архивах.

скину пару зеленых файлов (чипером зашифрован, но открывается)
Оба файла в системе зеленые, чипером пошифрованы

 

[akok]

И тут все читается у меня, если читается на другой машине, то не проще скопировать данные и пересоздать виртуалку. Да и непонятно, как же моментальные снимки?

 

[Moxito]

моментальные снимки

?????

Понял, но файлы зеленые, что странно.

выдали бесплатно декриптор после того как узнали что файлов особо нет и т.д.

 

[akok]

Что-то колхоз. Шифровать средствами EFS файлы.

?????

 

[Moxito]

Таковые есть, восстановился.

Всем спасибо!