Решена зашифрованы ворд, эксель и jpeg

Статус
В этой теме нельзя размещать новые ответы.

snow

Новый пользователь
Сообщения
14
Реакции
0
вирус зашифровал файлы ворд,эксель и jpeg.
Авира нашла (поздновато конечно) : tr/spy.118784.595, tr/kryptik.kgb.2, tr/spy.118784.595 и еще tr/Symmi.3602.1 . что из этого навредила незнаю, но лезли они одновременно судя по авире.
удалила error.exe
все необх файлы прилагаю. есть еще jpeg, но они большие.
 

Вложения

  • info.txt
    27.3 KB · Просмотры: 0
  • log.txt
    24.3 KB · Просмотры: 2
  • ориг+шифр.rar
    72.8 KB · Просмотры: 5
  • virusinfo.rar
    52.7 KB · Просмотры: 3

Ботан

Злостный спам-бот
Сообщения
1,056
Реакции
143
Приветствую snow, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\System32\АHTОMSYS19.exe','');
 QuarantineFile('C:\Users\Евгений\0.1216381764413782.exe','');
 QuarantineFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE','');
 QuarantineFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll','');
 DeleteFile('C:\Users\Евгений\Documents\Iterra\luatmql.dll');
 DeleteFile('C:\Users\B7E3~1\AppData\Local\Temp\059108~1.EXE');
 DeleteFile('C:\Users\Евгений\0.1216381764413782.exe');
 DeleteFile('C:\Windows\System32\АHTОMSYS19.exe');
 DeleteFileMask('C:\Users\Евгений\Documents\Iterra\', '*.*', true);
 DeleteDirectory('C:\Users\Евгений\Documents\Iterra\');
 DeleteFileMask('C:\ProgramData\4Ago0zj10kU', '*.*', true);
 DeleteDirectory('C:\ProgramData\4Ago0zj10kU');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinDefend\Parameters','ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


Файлы сейчас поглядим
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,927
Реакции
2,604
Файлы зашифрованы с использованием алгоритма Blowfish
 

snow

Новый пользователь
Сообщения
14
Реакции
0
все сделал правильно вроде. карантин отправил через форму, если надо могу продублировать. лог mbam прилагаю.
 

Вложения

  • mbam-log-2012-10-24 (23-41-48).txt
    8.2 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Повторите сканирование в MBAM и удалите все кроме следующего:

Код:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 2164 -> Действие не было предпринято.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Install\Office\WinRAR 3.91 Beta 2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

от этого мне не легче к сожалению. скажите лучше как расшифровать файлы.
Это означает, что расшифровка до оригинального вида невозможна.

Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.
 

snow

Новый пользователь
Сообщения
14
Реакции
0
Это означает, что расшифровка до оригинального вида невозможна.

Сколько Гигабайт пошифровано? Если не так много могу попробовать помочь восстановить часть информации.

документов(ворд, эксель) около 2 наверно. а вот фоток порядка 150гб
наверно лучше подсказать проги нужные.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Пробуйте:


Если не получилось отпишитесь здесь и ждите ответа.
Если ответ будет отрицательным тогда все что под спойлером, но это в самую последнюю очередь.

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

Для документов небольших размеров можно использовать демо-версии officerecovery:
Восстановить документ Word
Восстановить файл Excel

для больших документов только платную версию.

Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.

У меня не получалось таким образом восстановить doc и получалось docx.

Эту же операцию по замене байтов можно выполнить с помощью dd for windows

Командуем в консоли:

Код:
dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"
 

snow

Новый пользователь
Сообщения
14
Реакции
0
c mbam'ом разобрался, все что сказано удалил.
а вот с te162decrypt что-то неочень (статус е000006а ), говорит что зашифрованные файлы найдены, но ключ неподошёл. предлагают запустить из отдельной папки, предварительно положив рядом зашифрованный файл и оригинал.
А как положить в одну папку одноименные файлы?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Ок значит ошибка, ожидайте ответа
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Саш отчасти возможна не всех файлов но все же 100 байт же пошифровано. Я подменял в docx из других файлов в хексе и доки открывались.
 

snow

Новый пользователь
Сообщения
14
Реакции
0
получается мне сейчас в каждом файле байты менять? ничего полегче уже не будет?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Пробуйте поместить в папку с зашифрованными файлами несколько оригинальных копий и снова запустить tedecrypt - если не поможет, то способы и утилиты описаны под спойлером в сообщении выше.

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

На данный момент вирусные аналитики больше ничем вам не помогут.

Можете написать заявление в полицию о компьютерном мошенничестве.
 

snow

Новый пользователь
Сообщения
14
Реакции
0
а толк будет от этого заявления? врядли поймают ведь.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Это я уже не могу вам рассказать. Пробовали все способы?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,505
Реакции
5,689
Тему ставить решенной?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу