Зашифрованы файлы. Расширение .crypt

**Matador** · 16.07.2014, 07:00

Здравствуйте!
Заметили, что в сетевом хранилище началось шифрование файлов (вместо оригинальных файлов появились зашифрованные с расширением .crypt ), выяснили откуда запущен вирус. На том компьютере запустили cureit, который нашел несколько вирусов:
c:\users\володкина\appdata\local\temp\rar$dia0.212 \резюме.scr - infected with Trojan.Encoder.697
d:\инструкции\резюме.scr - infected with Trojan.Encoder.697
c:\users\володкина\appdata\local\temp\rar$dia0.348 \резюме.scr - infected with Trojan.Encoder.697
c:\users\володкина\appdata\local\temp\rar$dia0.889 \резюме.scr - infected with Trojan.Encoder.697
c:\users\володкина\appdata\local\temp\rar$dia0.142 \резюме.scr - infected with Trojan.Encoder.697
C:\Program Files\Comp\New\rgnsrgdfhszdfhsi.vbs - infected with VBS.Hosts.44
C:\Users\Володкина\AppData\Local\Mozilla\Firefox\P rofiles\8tlp60cb.default\Cache\D\CC\2007Dd01 - infected with JS.IFrame.579
C:\Users\Володкина\AppData\Local\Temp\csrss.bat - infected with BAT.Encoder.18
C:\Windows\System32\hale.exe - infected with BAT.Starter.91

CureIt! эти файлы поместил в карантин.
Каких-либо файлов с требованиями выкупа не нашел. Есть версии файлов из архива до и после шифровки.
Зашифрованы файлы с расширениями doc, xls, docx, pdf, txt, rtf, zip, jpg и др., не тронуты *.odt, db, exe, dll

Прошу помощи в расшифровке файлов.
При сборе информации в АВЗ отключаться от интернета не было возможности, управляю удаленно.

Во временной папке пользователя обнаружил файлик uncrypt.t текстовый, следующего содержания:
Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA-1024.
Восстановить файлы можно только при помощи программы обратной дешифрации, которая есть только у нас. Чтобы её получить, Вам необходимо
написать нам письмо на адрес:

[email protected]

При попытке расшифровки без нашей программы файлы могут повредиться!
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

При поступлении угроз в наш адрес, Ваши данные не будут расшифрованы.

Обращаем внимание, что файлы можно расшифровать только с использованием специалного программного обеспечения, которое есть только у нас.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.07.2014, 07:01

Уважаемый(ая) Matador, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 16.07.2014, 08:52

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Windows\System32\cwlog.dtl','');
 QuarantineFile('C:\Users\Володкина\appdata\local\temp\svchost.exe','');
 QuarantineFile('C:\Users\9DB7~1\AppData\Local\Temp\svchost.exe','');
 DeleteFile('C:\Users\9DB7~1\AppData\Local\Temp\svchost.exe','32');
 DeleteFile('C:\Users\Володкина\appdata\local\temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

**Matador** · 16.07.2014, 12:10

В avz скрипты выполнил, карантин отправил, но этот файл-svchost.exe-уже был вылечен cureit!, а зараженный файл cureit! добавил в свой карантин [удалено] - Это ссылка на логи cureit! и его же карантин (пароль: virus).

MBAM еще работает

**regist** · 16.07.2014, 12:33

Сообщение от Matador

MBAM еще работает

ок, ждём.

**thyrex** · 16.07.2014, 21:19

+ несколько зашифрованных файлов небольшого размера в архиве пришлите

**Matador** · 17.07.2014, 08:52

MBAM отработал, вот его логи.
Также выложил логи авз после стандартного скрипта №8 virusinfo_auto_KEM-BUH-1.zip

- - - Добавлено - - -

Образцы зашифрованных файлов + есть один оригинальный-копия до зашифровки
http://antifile.ru/files/41242191

**regist** · 17.07.2014, 09:57

лог MBAM в текстовом формате прикрепите.

**Matador** · 17.07.2014, 10:30

MBAM лог, экспортированный в текстовом режиме

**regist** · 17.07.2014, 11:15

удалите всё найденное. Сделайте новый лог MBAM

**thyrex** · 17.07.2014, 11:56

Из присланных файлов успешно расшифровались только документ Word и текстовый файл

Картинки .bmp и .mp3-файл не расшифровались
Есть зашифрованные файлы других форматов?

**Matador** · 17.07.2014, 13:06

вот другие форматы http://antifile.ru/files/41244816

**thyrex** · 17.07.2014, 13:55

И снова не все расшифровалось. Пару файлов даже просто бесследно исчезло

**Matador** · 17.07.2014, 14:04

хоть что-то, подскажите чем и как восстанавливаете?

**thyrex** · 17.07.2014, 14:11

Я могу выложить дешифратор от злоумышленников, но за последствия его работы ответственности не несу. Вы, кстати, единственный пока у кого возникают проблемы с дешифровкой.

Выкладывать?

**Matador** · 21.07.2014, 04:52

Да, и опишите как с ним работать

**regist** · 21.07.2014, 10:31

Информация

Внимание!

Данный дешифратор, полученный от злоумышленников с почтой для связи [email protected], предназначен только для пользователя Matador.

За возможную неудачную расшифровку некоторых файлов ответственность целиком ложится на лицо, использующее дешифратор, т.к. оригиналов зашифрованных файлов на компьютере не остается. Поэтому рекомендуется позаботиться о создании резервной копии зашифрованной информации.

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Дешифратор

Принцип работы с дешифратором:

1. Перетащите любой из зашифрованных файлов с расширением .gpg или .crypt на значок программы.

2. Процесс дешифровки может оказаться длительным, поскольку программа проверяет все доступные диски.

3. Признаком работы программы служит наличие в Диспетчере задач Windows процессов decrypt.exe и cmd.exe. Как только эти процессы исчезли из памяти - дешифроввка окончена.,

**CyberHelper** · 21.07.2014, 10:41

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения вредоносные программы в карантинах не обнаружены

Зашифрованы файлы. Расширение .crypt (заявка № 163225)

Опции темы

Зашифрованы файлы. Расширение .crypt

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Информация

Итог лечения

Похожие темы

Зашифрованы файлы. Расширение ._crypt [Trojan-Dropper.Win32.Dorifel.alfo, Trojan.Win32.Yakes.fdlk ]

файлы зашифрованы -добавлено расширение .foo

Файлы зашифрованы (расширение *.LAK)

Файлы зашифрованы (расширение *.LAK)

Метки для этой темы

Ваши права в разделе