• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена зашифрованы ворд, эксель и jpeg

Статус
В этой теме нельзя размещать новые ответы.

snow

Активный пользователь
Сообщения
14
Реакции
0
Баллы
301
вирус зашифровал файлы ворд,эксель и jpeg.
Авира нашла (поздновато конечно) : tr/spy.118784.595, tr/kryptik.kgb.2, tr/spy.118784.595 и еще tr/Symmi.3602.1 . что из этого навредила незнаю, но лезли они одновременно судя по авире.
удалила error.exe
все необх файлы прилагаю. есть еще jpeg, но они большие.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую snow, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\System32\АHTОMSYS19.exe','');
 QuarantineFile('C:\Users\Евгений\0.1216381764413782.exe','');
 QuarantineFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE','');
 QuarantineFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll','');
 DeleteFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll');
 DeleteFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE');
 DeleteFile('C:\Users\Евгений\0.1216381764413782.exe');
 DeleteFile('C:\Windows\System32\АHTОMSYS19.exe');
 DeleteFileMask('C:\Users\Евгений\Documents\Iterra\', '*.*', true);
 DeleteDirectory('C:\Users\Евгений\Documents\Iterra\');
 DeleteFileMask('C:\ProgramData\4Ago0zj10kU', '*.*', true);
 DeleteDirectory('C:\ProgramData\4Ago0zj10kU');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinDefend\Parameters','ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


Файлы сейчас поглядим
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Файлы зашифрованы с использованием алгоритма Blowfish
 

snow

Активный пользователь
Сообщения
14
Реакции
0
Баллы
301
все сделал правильно вроде. карантин отправил через форму, если надо могу продублировать. лог mbam прилагаю.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Повторите сканирование в MBAM и удалите все кроме следующего:

Код:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2164 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Install\Office\WinRAR 3.91 Beta 2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
от этого мне не легче к сожалению. скажите лучше как расшифровать файлы.
Это означает, что расшифровка до оригинального вида невозможна.

Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.
 

snow

Активный пользователь
Сообщения
14
Реакции
0
Баллы
301
Это означает, что расшифровка до оригинального вида невозможна.

Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.
документов(ворд, эксель) около 2 наверно. а вот фоток порядка 150гб
наверно лучше подсказать проги нужные.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Пробуйте:

Если не получилось отпишитесь здесь и ждите ответа.
Если ответ будет отрицательным тогда все что под спойлером, но это в самую последнюю очередь.

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

Для документов небольших размеров можно использовать демо-версии officerecovery:
Восстановить документ Word
Восстановить файл Excel

для больших документов только платную версию.

Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.

У меня не получалось таким образом восстановить doc и получалось docx.

Эту же операцию по замене байтов можно выполнить с помощью dd for windows

Командуем в консоли:

Код:
dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"
 

snow

Активный пользователь
Сообщения
14
Реакции
0
Баллы
301
c mbam'ом разобрался, все что сказано удалил.
а вот с te162decrypt что-то неочень (статус е000006а ), говорит что зашифрованные файлы найдены, но ключ неподошёл. предлагают запустить из отдельной папки, предварительно положив рядом зашифрованный файл и оригинал.
А как положить в одну папку одноименные файлы?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Ок значит ошибка, ожидайте ответа
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Саш отчасти возможна не всех файлов но все же 100 байт же пошифровано. Я подменял в docx из других файлов в хексе и доки открывались.
 

snow

Активный пользователь
Сообщения
14
Реакции
0
Баллы
301
получается мне сейчас в каждом файле байты менять? ничего полегче уже не будет?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Пробуйте поместить в папку с зашифрованными файлами несколько оригинальных копий и снова запустить tedecrypt - если не поможет, то способы и утилиты описаны под спойлером в сообщении выше.

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.
На данный момент вирусные аналитики больше ничем вам не помогут.

Можете написать заявление в полицию о компьютерном мошенничестве.
 

snow

Активный пользователь
Сообщения
14
Реакции
0
Баллы
301
а толк будет от этого заявления? врядли поймают ведь.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Это я уже не могу вам рассказать. Пробовали все способы?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Тему ставить решенной?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу