Добрый день.
Открыли вложение в письме судебное поставление, получили зашифрованные файлы на компьютере. Прошу помощи в расшифровании своих файлов, если это возможно. Проверил систему Kaspersky Virus Removal Tool нашёл 2 рекламных файла, удалил. Сделал логи, прикладываю. Надеюсь на вашу помощь.
Заранее спасибо.
Последний раз редактировалось wolf-200; 18.06.2014 в 06:26.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) wolf-200, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
greener web удалите через Установку программ
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL',''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys',''); QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys',''); SetServiceStart('{a3f28269-ad17-41a8-b032-3e0313ef8979}w', 4); DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}w'); SetServiceStart('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw', 4); DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw'); SetServiceStart('Util Greener Web', 4); DeleteService('Util Greener Web'); SetServiceStart('Update Greener Web', 4); DeleteService('Update Greener Web'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys','32'); DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новые логи и лог полного сканирования МВАМ
Удалите в МВАМ (поместите в Карантин) всё, кроме
Код:Trojan.Banload, C:\Users\masha\Downloads\dumay_kak_mujchina_postupay_kak_jenschina_audiokniga.exe, , [8b275221cfaceb4b657dc4ea9967bb45], PUP.Optional.Dropper, C:\Users\masha\Downloads\FlvPlayerSetup.exe, , [a012e29193e8211550d3214e47bd14ec], PUP.Optional.WinSolution, C:\Users\masha\Downloads\DownloadSetup_s (1).exe, , [5e54551e2e4d66d09b1a5a0d857cf50b], PUP.Optional.WinSolution, C:\Users\masha\Downloads\DownloadSetup_s (2).exe, , [545e2f4490ebc47215a089de6d947888], PUP.Optional.WinSolution, C:\Users\masha\Downloads\DownloadSetup_s.exe, , [852d5b18d6a539fdaf06244317ea47b9], Malware.Packed, C:\Users\masha\Downloads\unlock\unlock.exe, , [d3df4f24cfac04329963c806649cf10f], Malware.Gen, C:\Program Files\Adobe\Adobe Photoshop CS5\Keygen.exe, , [3280343f7209ed496282c692bd4301ff],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово, дальше что делать?
Зашифрованный файл небольшого размера пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот
Информация
Скачайте te102decrypt.exe и сохраните в корень диска С.
В командной строке введите:
Внимание!!!Код:C:\te102decrypt.exe -k 533 –t 8
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Дешифровка прошла неудачно, файлы новые создались, но увы не открываются
В архиве прекрасно расшифровавшийся присланный Вами файл
+ пришлите несколько проблемных файлов небольшого размера
Последний раз редактировалось thyrex; 24.06.2014 в 11:29.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот
Последний раз редактировалось wolf-200; 24.06.2014 в 11:42.
Стало быть умудрились словить еще какую-то из модификаций, для которой нет ключа пока
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Подскажите, сейчас информацию вытянул с пользователя, говорят, что пытались использовать дешифратор какой-то, который от файлов убирал расширение @support.casinomtgox, но файлы оставались нечитаемыми, и после решили вернуть всё обратно и опять запустили файл с шифратором. Часть файлов удалось расшифровать, они просто находились на флешке, они шифровались только один раз. Может есть какой-то вариант с дешифровкой двойного шифрования, одинм и тем же шифратором?
Боюсь эти файлы по человеческой глупости утеряны навсегда.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
А где можно ключи посмотреть, интерсует скнаирование отдельной папки, неохота весь диск прогонять.Сообщение от thyrex
Информация
Скачайте te102decrypt.exe и сохраните в корень диска С.
В командной строке введите:
Внимание!!!Код:C:\te102decrypt.exe -k 533 –t 8
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Вот так
C:\te102decrypt.exe -k 533 –t 8 -path путь_к_папке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) wolf-200, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
