• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена без расшифровки зашифрованы файлы. Расширение .crypted000007

Vladimir21

Пользователь
Сообщения
32
Симпатии
1
#1
Помогите пожалуйста расшифровать данные. Причем зашифрованы и имена файлов. Логи прилагаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#2
Удаленное управление сами устанавливали? Remote Manipulator System — Википедия

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
  SetServiceStart('Network Driver Interface', 4);
 QuarantineFile('C:\WINDOWS\system32\logon.scr','');
 QuarantineFile('C:\WINDOWS\System32\logon.scr','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteService('Network Driver Interface');
 QuarantineFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteService('Network Driver Interface');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Нужна еще пара файлов (зашифрованный и его оригинальная копия) для анализа
 

Vladimir21

Пользователь
Сообщения
32
Симпатии
1
#3
Да, RMS мой.
прилагаю отчеты
По паре файлов не уверен. Имена зашифрованы, поэтому сложнее будет сориентироваться. Но я постараюсь, поищу. Ассоциативно как то что ли.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#4
Vladimir21, тогда просто пару зашифрованных файлов. Сообщение о выкупе осталось?

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\WINDOWS\System32\logon.scr
HKU\S-1-5-21-73586283-789336058-725345543-1003\...\MountPoints2: E - E:\Setup.EXE
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-73586283-789336058-725345543-1003 -> Яндекс.Бар (для ESET) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} -  No File
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Один из ваших аккаунтов в системе?
Код:
1 (S-1-5-21-73586283-789336058-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\1
 

Vladimir21

Пользователь
Сообщения
32
Симпатии
1
#5
Вот файлы.
архив с паролем virus

Да, этот аккаунт сейчас в работе

как процесс?
незашифрованной пары пока нет.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#7
Праздники по носу. Коллеги скоро отпишутся по дешифровке.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,362
Симпатии
1,544
#10
Увы, для этого типа вымогателя расшифровки нет.
 

Vladimir21

Пользователь
Сообщения
32
Симпатии
1
#11
Понятно. Жаль. Вымогатели становятся умнее и хитрее.

можете сказать как называется шифровальщик?

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#12
Это какая-то вариация Trojan.Encoder

Мусор почистили, а файлы можно попробовать восстановить софтом для восстановления удаленной информации (может, что и получится восстановить).

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Для защиты от шифровальщиков: FixRun (FixSecurity) - защита от шифровальщиков
 

Vladimir21

Пользователь
Сообщения
32
Симпатии
1
#13
я закачал на этот сайт зашифрованные файлы и он мне дал ссылку на этот файл. Но он для MAC

вот отчет
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#14
Скорее всего сайт ошибся в определении зловреда.
 

Vladimir21

Пользователь
Сообщения
32
Симпатии
1
#15
понятно, расшифровки нет и скорее всего не появится в ближайшем будущем
В любом случае большое спасибо! Поздравляю всю команду форума с наступающим Новым годом! Удачи вам!
 

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#16
И Вас с наступающими!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#17
можете сказать как называется шифровальщик?
Это Shade.

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?
не знаю, что за образ вы там нашли. Но скорее всего эта утилита для старой вариации Shade. От неё ключи слили, для вашей версии ключей нет.
 
Сверху Снизу