Решена без расшифровки зашифрованы файлы. Расширение .crypted000007

Статус
В этой теме нельзя размещать новые ответы.

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
Помогите пожалуйста расшифровать данные. Причем зашифрованы и имена файлов. Логи прилагаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Удаленное управление сами устанавливали? Remote Manipulator System — Википедия

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
  SetServiceStart('Network Driver Interface', 4);
 QuarantineFile('C:\WINDOWS\system32\logon.scr','');
 QuarantineFile('C:\WINDOWS\System32\logon.scr','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteService('Network Driver Interface');
 QuarantineFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteService('Network Driver Interface');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Нужна еще пара файлов (зашифрованный и его оригинальная копия) для анализа
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
Да, RMS мой.
прилагаю отчеты
По паре файлов не уверен. Имена зашифрованы, поэтому сложнее будет сориентироваться. Но я постараюсь, поищу. Ассоциативно как то что ли.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Vladimir21, тогда просто пару зашифрованных файлов. Сообщение о выкупе осталось?

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\WINDOWS\System32\logon.scr
HKU\S-1-5-21-73586283-789336058-725345543-1003\...\MountPoints2: E - E:\Setup.EXE
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-73586283-789336058-725345543-1003 -> Яндекс.Бар (для ESET) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} -  No File
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Один из ваших аккаунтов в системе?
Код:
1 (S-1-5-21-73586283-789336058-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\1
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
Вот файлы.
архив с паролем virus

Да, этот аккаунт сейчас в работе

как процесс?
незашифрованной пары пока нет.
 

Вложения

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
akok, Вы что то пропали. Как процесс?
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Праздники по носу. Коллеги скоро отпишутся по дешифровке.
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
хорошо, спасибо! С наступающим Вас!
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
ребята, может что нибудь скажете, как дела?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,634
Реакции
1,712
Баллы
433
Увы, для этого типа вымогателя расшифровки нет.
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
Понятно. Жаль. Вымогатели становятся умнее и хитрее.

можете сказать как называется шифровальщик?

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Это какая-то вариация Trojan.Encoder

Мусор почистили, а файлы можно попробовать восстановить софтом для восстановления удаленной информации (может, что и получится восстановить).

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Для защиты от шифровальщиков: FixRun (FixSecurity) - защита от шифровальщиков
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
я закачал на этот сайт зашифрованные файлы и он мне дал ссылку на этот файл. Но он для MAC

вот отчет
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Скорее всего сайт ошибся в определении зловреда.
 

Vladimir21

Пользователь
Сообщения
34
Реакции
1
Баллы
18
понятно, расшифровки нет и скорее всего не появится в ближайшем будущем
В любом случае большое спасибо! Поздравляю всю команду форума с наступающим Новым годом! Удачи вам!
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
И Вас с наступающими!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,905
Баллы
998
можете сказать как называется шифровальщик?
Это Shade.

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?
не знаю, что за образ вы там нашли. Но скорее всего эта утилита для старой вариации Shade. От неё ключи слили, для вашей версии ключей нет.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу