Решена без расшифровки зашифрованы файлы. Расширение .crypted000007

[Vladimir21]

Помогите пожалуйста расшифровать данные. Причем зашифрованы и имена файлов. Логи прилагаю.

 

[akok]

Удаленное управление сами устанавливали? Remote Manipulator System — Википедия

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
  SetServiceStart('Network Driver Interface', 4);
 QuarantineFile('C:\WINDOWS\system32\logon.scr','');
 QuarantineFile('C:\WINDOWS\System32\logon.scr','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteService('Network Driver Interface');
 QuarantineFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteService('Network Driver Interface');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Нужна еще пара файлов (зашифрованный и его оригинальная копия) для анализа

 

[Vladimir21]

Да, RMS мой.
прилагаю отчеты
По паре файлов не уверен. Имена зашифрованы, поэтому сложнее будет сориентироваться. Но я постараюсь, поищу. Ассоциативно как то что ли.

 

[akok]

Vladimir21, тогда просто пару зашифрованных файлов. Сообщение о выкупе осталось?

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CreateRestorePoint:
VirusTotal: C:\WINDOWS\System32\logon.scr
HKU\S-1-5-21-73586283-789336058-725345543-1003\...\MountPoints2: E - E:\Setup.EXE
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-73586283-789336058-725345543-1003 -> Яндекс.Бар (для ESET) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} -  No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Один из ваших аккаунтов в системе?

1 (S-1-5-21-73586283-789336058-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\1

 

[Vladimir21]

Вот файлы.
архив с паролем virus

Да, этот аккаунт сейчас в работе

как процесс?
незашифрованной пары пока нет.

 

[Vladimir21]

akok, Вы что то пропали. Как процесс?

 

[akok]

Праздники по носу. Коллеги скоро отпишутся по дешифровке.

 

[Vladimir21]

хорошо, спасибо! С наступающим Вас!

 

[Vladimir21]

ребята, может что нибудь скажете, как дела?

 

[Sandor]

Увы, для этого типа вымогателя расшифровки нет.

 

[Vladimir21]

Понятно. Жаль. Вымогатели становятся умнее и хитрее.

можете сказать как называется шифровальщик?

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?

 

[akok]

Это какая-то вариация Trojan.Encoder

Мусор почистили, а файлы можно попробовать восстановить софтом для восстановления удаленной информации (может, что и получится восстановить).

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Для защиты от шифровальщиков: FixRun (FixSecurity) - защита от шифровальщиков

 

[Vladimir21]

я закачал на этот сайт зашифрованные файлы и он мне дал ссылку на этот файл. Но он для MAC

вот отчет

 

[akok]

Скорее всего сайт ошибся в определении зловреда.

 

[Vladimir21]

понятно, расшифровки нет и скорее всего не появится в ближайшем будущем
В любом случае большое спасибо! Поздравляю всю команду форума с наступающим Новым годом! Удачи вам!

 

[akok]

И Вас с наступающими!

 

[regist]

можете сказать как называется шифровальщик?

Это Shade.

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?

не знаю, что за образ вы там нашли. Но скорее всего эта утилита для старой вариации Shade. От неё ключи слили, для вашей версии ключей нет.