• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифроватор veracrypt@foxmail.com

  • Автор темы Автор темы mstk
  • Дата начала Дата начала
  • Теги Теги
    dharma
Статус
В этой теме нельзя размещать новые ответы.
M

mstk

Новый пользователь
Сообщения
2
Реакции
0
Добрый день!

Сегодня столкнулся с данным шифроватором veracrypt@foxmail.com. Зашифровано почти все.
Файлы вложил согласно инструкции, надеюсь на вашу помощь!

Заранее спасибо!
 

Вложения

Доброго времени суток. Зашифровано Dharma (.cezar Family), для него пока нет дешифровщика. Если есть возможность восстановить данные из бекапа, воспользуйтесь ею.
 
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '');
 QuarantineFile('C:\Windows\System32\1Vera.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '64');
 DeleteFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '32');
 DeleteFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '64');
 DeleteFile('C:\Users\user203\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '64');
 DeleteFile('C:\Windows\System32\1Vera.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Спасибо, будем пробовать восстанавливаться из бэкапов.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

F
  • Закрыта
Решена с расшифровкой. Шифроватор Trojan-Ransom.Win32.Xorist.ln
Ответы
11
Просмотры
4K
Sandor
Sandor
M
  • Закрыта
Закрыто Veracrypt оплата в monero [vashbidannie@rambler.ru]
Ответы
1
Просмотры
983
Sandor
Sandor
L
  • Закрыта
Закрыто Шифровальщик veracrypt@foxmail.com. Есть ли вариант восстановить?
Ответы
1
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу