Решена зашифрованы ворд, эксель и jpeg

  • Автор темы Автор темы snow
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

snow

Новый пользователь
Сообщения
14
Реакции
0
вирус зашифровал файлы ворд,эксель и jpeg.
Авира нашла (поздновато конечно) : tr/spy.118784.595, tr/kryptik.kgb.2, tr/spy.118784.595 и еще tr/Symmi.3602.1 . что из этого навредила незнаю, но лезли они одновременно судя по авире.
удалила error.exe
все необх файлы прилагаю. есть еще jpeg, но они большие.
 

Вложения

Приветствую snow, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\System32\АHTОMSYS19.exe','');
 QuarantineFile('C:\Users\Евгений\0.1216381764413782.exe','');
 QuarantineFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE','');
 QuarantineFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll','');
 DeleteFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll');
 DeleteFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE');
 DeleteFile('C:\Users\Евгений\0.1216381764413782.exe');
 DeleteFile('C:\Windows\System32\АHTОMSYS19.exe');
 DeleteFileMask('C:\Users\Евгений\Documents\Iterra\', '*.*', true);
 DeleteDirectory('C:\Users\Евгений\Documents\Iterra\');
 DeleteFileMask('C:\ProgramData\4Ago0zj10kU', '*.*', true);
 DeleteDirectory('C:\ProgramData\4Ago0zj10kU');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinDefend\Parameters','ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


Файлы сейчас поглядим
 
Файлы зашифрованы с использованием алгоритма Blowfish
 
все сделал правильно вроде. карантин отправил через форму, если надо могу продублировать. лог mbam прилагаю.
 

Вложения

Повторите сканирование в MBAM и удалите все кроме следующего:

Код:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2164 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Install\Office\WinRAR 3.91 Beta 2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

от этого мне не легче к сожалению. скажите лучше как расшифровать файлы.
Это означает, что расшифровка до оригинального вида невозможна.

Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.
 
Это означает, что расшифровка до оригинального вида невозможна.

Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.

документов(ворд, эксель) около 2 наверно. а вот фоток порядка 150гб
наверно лучше подсказать проги нужные.
 
Пробуйте:

От кого: "Vladimir Martyanov via RT" <vms@drweb.com>
Запустите ftp://ftp.drweb.com/pub/drweb/tools/te162decrypt.exe

Если не получилось отпишитесь здесь и ждите ответа.
Если ответ будет отрицательным тогда все что под спойлером, но это в самую последнюю очередь.

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

Для документов небольших размеров можно использовать демо-версии officerecovery:
Восстановить документ Word
Восстановить файл Excel

для больших документов только платную версию.

Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.

У меня не получалось таким образом восстановить doc и получалось docx.

Эту же операцию по замене байтов можно выполнить с помощью dd for windows

Командуем в консоли:

Код:
dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"
 
c mbam'ом разобрался, все что сказано удалил.
а вот с te162decrypt что-то неочень (статус е000006а ), говорит что зашифрованные файлы найдены, но ключ неподошёл. предлагают запустить из отдельной папки, предварительно положив рядом зашифрованный файл и оригинал.
А как положить в одну папку одноименные файлы?
 
Ок значит ошибка, ожидайте ответа
 
Саш отчасти возможна не всех файлов но все же 100 байт же пошифровано. Я подменял в docx из других файлов в хексе и доки открывались.
 
получается мне сейчас в каждом файле байты менять? ничего полегче уже не будет?
 
Пробуйте поместить в папку с зашифрованными файлами несколько оригинальных копий и снова запустить tedecrypt - если не поможет, то способы и утилиты описаны под спойлером в сообщении выше.

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

На данный момент вирусные аналитики больше ничем вам не помогут.

Можете написать заявление в полицию о компьютерном мошенничестве.
 
а толк будет от этого заявления? врядли поймают ведь.
 
Это я уже не могу вам рассказать. Пробовали все способы?
 
Тему ставить решенной?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу