Зашифровались документы с хвостом .cry

**Alavar** · 12.09.2014, 13:21

Помогите пожалуйста спасти инфу. Все документы и другие файлы получили расширение .cry

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.09.2014, 13:22

Уважаемый(ая) Alavar, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 12.09.2014, 13:32

http://virusinfo.info/pravila.html

**Alavar** · 12.09.2014, 14:06

Разгребаюсь с тем, что произашло (как не знаю) все файлы имеют хвост .cry

**Alavar** · 12.09.2014, 14:19

Результат загрузки

Файл сохранён как 140912_101050_virus_5412c6aa4d7fb.zip
Размер файла 538027
MD5 0ef379129b4a84c71ee13540047871b9
Файл закачан, спасибо!

- - - - -Добавлено - - - - -

Пример зашифрованных файлов

**mike 1** · 12.09.2014, 15:58

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe','');
 QuarantineFile('C:\Documents and Settings\savina.svetlana\Local Settings\Application Data\Microsoft\Windows\system.vbs','');
 QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe','');
 DeleteFile('C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker');
 DeleteFile('C:\Documents and Settings\savina.svetlana\Local Settings\Application Data\Microsoft\Windows\system.vbs','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 DeleteFile('C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','SystemAutorun');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O4 - HKLM\..\Run: [SystemScript] "C:\Documents and Settings\admin.SVLOREAL\Local Settings\Application Data\Microsoft\Windows\system.vbs"
O4 - HKCU\..\Run: [SystemScript] "C:\Documents and Settings\admin.SVLOREAL\Local Settings\Application Data\Microsoft\Windows\system.vbs"
O4 - HKUS\S-1-5-21-1112091864-3458939556-1066572027-1151\..\Run: [LoaderLocker] C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe (User 'karavajnaja.irina')
O4 - HKUS\S-1-5-21-1112091864-3458939556-1066572027-1151\..\Run: [SystemAutorun] C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe (User 'karavajnaja.irina')
O4 - S-1-5-21-1112091864-3458939556-1066572027-1151 Startup: SystemAutorun.exe (User 'karavajnaja.irina')

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

**Alavar** · 12.09.2014, 16:38

У меня маленький вопросик. Я вылечу машину от вирусов, а восстановить данные (расшифровать) получится ?

**mike 1** · 12.09.2014, 16:42

Сообщение от Alavar

У меня маленький вопросик. Я вылечу машину от вирусов, а восстановить данные (расшифровать) получится ?

Не знаю Вы карантин не прислали пока, а шифратор у вас на горячую работает.

**thyrex** · 12.09.2014, 16:52

Добавлю: с расшифровкой не поможем

**Alavar** · 12.09.2014, 17:31

както так

**thyrex** · 12.09.2014, 17:59

Сообщение от Alavar

както так

Вовсе нет. Карантин пришлите так, как Вас просили

**Alavar** · 12.09.2014, 18:09

Результат загрузки

Файл сохранён как 140912_140911_qarantine_5412fe87937b0.zip
Размер файла 54767
MD5 6dcd03bcbc23bf02ba4c7c5982b35e5a
Файл закачан, спасибо!

**mike 1** · 12.09.2014, 18:19

Ждем новые логи.

**Alavar** · 12.09.2014, 18:30

log

**mike 1** · 12.09.2014, 21:56

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Encrypt.exe','');
QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Microsoft Office Standart.rar','');
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

quarantine2.zip пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).

Код:

Данные реестра:
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1125-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[774c9e4ee992979fb331797c1ee636ca]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1126-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[7d4646a691ea81b5b13374817a8aa957]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1134-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[913227c5b1ca20164f95876edf250cf4]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1144-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[80434aa2fb802e08628208edaf55ce32]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1146-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[f6cd7d6ff78440f64e968075ac5801ff]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1150-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[695a66860e6d6fc7687cdf160afa50b0]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1151-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[388b618bb7c467cfc123896cf410ad53]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1152-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[9b285795b3c8b97d737150a5f80cc23e]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1153-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[2c97a24a4338b87eb52f4ca9c93b9e62]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1168-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[f9ca5b9103780036aa3a9a5b48bc748c]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1176-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[e9da707cfa8174c20ada55a01de76e92]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1210-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[c20134b883f811252fb533c22dd7649c]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1211-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[a51e7874a4d7a4925f8528cdf3117c84]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1216-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[10b31bd1afccf93d6c7850a519eb9f61]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1218-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[13b0b03c661594a2697b8372bd479070]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1220-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[b40f94580e6d201642a207ee57ad837d]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1221-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[edd6ab41cbb08caaf4f083724eb634cc]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1281-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[8241678584f73600667e8d68030120e0]
PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[d2f1ba32aecdeb4bbf250ee7bc4818e8]

Файлы:
Trojan.Hoaxsms, C:\Documents and Settings\savina.svetlana\Application Data\system app.rar, , [ba093cb054276dc912213f5411ef7789], 
Backdoor.MSIL.PGen, C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Encrypt.exe, , [319209e3a0db082ee00aa4f216eabc44], 
Backdoor.MSIL.PGen, C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Microsoft Office Standart.rar, , [5b68df0d790254e2f0fac4d22dd3fb05], 
Trojan.Hoaxsms, C:\RECYCLER\S-1-5-21-842925246-1547161642-1606980848-500\Dc2.exe, , [e6dd6b810279999d0c27d8bb9d6311ef], 
Backdoor.MSIL.PGen, C:\RECYCLER\S-1-5-21-842925246-1547161642-1606980848-500\Dc3.exe, , [8d367379eb901f1762881185ca36649c],

Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

**Alavar** · 13.09.2014, 01:20

Пока еще ничего не удалял. Вирус очень сложный - мне аж нравится ))) Похоже у ребят из касперского и веба уйдет какоето время на дешифровку. Похоже на то что у меня самая свежая модификация. Логи будут чуть позже. Люди которые разработали данный алгоритм шифрования берут за расшифровку 190 грн. В доказательство они расшифровали 1 файл и показали скрин его содержимого. На расшифровку у него ушло 3 минуты (специально засекал). Похоже алгоритм сложный и лекарства ждать не скоро.

**thyrex** · 13.09.2014, 08:43

Они Вам расшифровывали в прямом эфире что ли? ))) Лекарство от вирлабов вряд ли будет вообще

**CyberHelper** · 13.09.2014, 08:53

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\savina.svetlana\local settings\application data\microsoft\windows\system.vbs - Trojan.VBS.Agent.su ( DrWEB: Trojan.Ormes.9, AVAST4: VBS:AutoRun-CS [Trj] )

Зашифровались документы с хвостом .cry (заявка № 166487)

Опции темы

Зашифровались документы с хвостом .cry

Помогите расшифровать файлы пожалуйста

Антивирусная помощь

результат

Антивирусная помощь

malvare

Антивирусная помощь

Итог лечения

Похожие темы

Зашифровались рабочие файлы и документы, [email protected]

Зашифровались файлы, все документы!!! Помогите!

Вирусом зашифровались документы на ПК

Зашифровались документы

пришло письмо от сбербанка, и зашифровались документы

Метки для этой темы

Ваши права в разделе