• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки зашифрованы файлы. Расширение .crypted000007

Статус
В этой теме нельзя размещать новые ответы.

Vladimir21

Новый пользователь
Сообщения
32
Реакции
1
Помогите пожалуйста расшифровать данные. Причем зашифрованы и имена файлов. Логи прилагаю.
 

Вложения

  • CollectionLog-2017.12.22-23.14.zip
    47.9 KB · Просмотры: 2
Удаленное управление сами устанавливали? Remote Manipulator System — Википедия

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
  SetServiceStart('Network Driver Interface', 4);
 QuarantineFile('C:\WINDOWS\system32\logon.scr','');
 QuarantineFile('C:\WINDOWS\System32\logon.scr','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteService('Network Driver Interface');
 QuarantineFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteFile('E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteService('Network Driver Interface');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Нужна еще пара файлов (зашифрованный и его оригинальная копия) для анализа
 
Да, RMS мой.
прилагаю отчеты
По паре файлов не уверен. Имена зашифрованы, поэтому сложнее будет сориентироваться. Но я постараюсь, поищу. Ассоциативно как то что ли.
 

Вложения

  • Addition.txt
    75.9 KB · Просмотры: 1
  • FRST.txt
    193.5 KB · Просмотры: 1
  • Shortcut.txt
    103.6 KB · Просмотры: 0
Vladimir21, тогда просто пару зашифрованных файлов. Сообщение о выкупе осталось?

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\WINDOWS\System32\logon.scr
HKU\S-1-5-21-73586283-789336058-725345543-1003\...\MountPoints2: E - E:\Setup.EXE
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-73586283-789336058-725345543-1003 -> Яндекс.Бар (для ESET) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} -  No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Один из ваших аккаунтов в системе?
Код:
1 (S-1-5-21-73586283-789336058-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\1
 
Вот файлы.
архив с паролем virus

Да, этот аккаунт сейчас в работе

как процесс?
незашифрованной пары пока нет.
 

Вложения

  • README1.txt
    4.1 KB · Просмотры: 2
  • 123.rar
    289.4 KB · Просмотры: 2
  • Fixlog.txt
    2 KB · Просмотры: 1
akok, Вы что то пропали. Как процесс?
 
Праздники по носу. Коллеги скоро отпишутся по дешифровке.
 
хорошо, спасибо! С наступающим Вас!
 
ребята, может что нибудь скажете, как дела?
 
Увы, для этого типа вымогателя расшифровки нет.
 
Понятно. Жаль. Вымогатели становятся умнее и хитрее.

можете сказать как называется шифровальщик?

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?
 

Вложения

  • Trend Micro Ransomware Decryptor_V1.0.1.zip
    940.3 KB · Просмотры: 1
Это какая-то вариация Trojan.Encoder

Мусор почистили, а файлы можно попробовать восстановить софтом для восстановления удаленной информации (может, что и получится восстановить).

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Для защиты от шифровальщиков: FixRun (FixSecurity) - защита от шифровальщиков
 
я закачал на этот сайт зашифрованные файлы и он мне дал ссылку на этот файл. Но он для MAC

вот отчет
 

Вложения

  • SecurityCheck.txt
    12.1 KB · Просмотры: 0
Скорее всего сайт ошибся в определении зловреда.
 
понятно, расшифровки нет и скорее всего не появится в ближайшем будущем
В любом случае большое спасибо! Поздравляю всю команду форума с наступающим Новым годом! Удачи вам!
 
  • Like
Реакции: akok
И Вас с наступающими!
 
можете сказать как называется шифровальщик?
Это Shade.

Вот здесь нашел новый декриптор The No More Ransom Project
вкладываю его в письмо
Что скажете?
не знаю, что за образ вы там нашли. Но скорее всего эта утилита для старой вариации Shade. От неё ключи слили, для вашей версии ключей нет.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу