Junior Member
Вес репутации
35
Прошу помощи, файлы электронных книг, фото и т.п. зашифрованы вирусом: *.*.encrypted (якобы CryptoLocker)
Образцы зашифрованых файлов:
http://www.ex.ua/487738926574
Как выглядил окно самого вируса:
http://piccy.info/view3/7135510/6042...da357621c90b4/
И сайт на котором можно "приобрести" разблокировщик :
http://nne4b5ujqqedvrkh.door2tor.org/buy.php?9j3zh9
Подскажите, пложалуйста как можно восстановить зашифрованные элементы (банальное изменение расширения не помогает), что это за вирус ? (везде по Cryptolocker другие картинки) и чем лучше лечить ?
Заранее огромная благодарность !!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Нина Петровна , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Junior Member
Вес репутации
35
Необходимые Логи
Вот, прогнал, как того требуют правила
Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll','');
QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll','');
DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll','32');
DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Новые логи после скрипта
Вот лог АВГ после выполнения скрипта.
Сообщения от вируса никуда не делось.
virusinfo_autoquarantine.zip - в правилах вычитал что этот лог НЕ нужно отправлять, его не прикладываю.
Сейчас система проверяется Anti-Malwere..
- - - - -Добавлено - - - - -
Благодарю за проявленное внимание и желание помочь.
Мой дальнейший порядок действий ?
Удалять то что находит Др.Веб, Мэлвэер ?
Что с расшифровкой файлов ?
- - - - -Добавлено - - - - -
Хм.. странно, куда-то исчезло окно криптера с требованием перечислить денег..
Но файлы всё ещё зашифрованы
((
Вложения
Junior Member
Вес репутации
35
Дальнейшие действия
Прошу прощения что тороплю..
Вы там про меня не забыли ?
Спасибо !
(ваот ещё забыл этот лог в прошлом сообщении прикрепить..)
Вложения
Сообщение от
Нина Петровна
Вы там про меня не забыли ?
Извините, потеряли тему
Поместите в карантин МВАМ всё, кроме
Код:
Registry Data: 3
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Good: (0), Bad: (1),,[7753987d314b3105a7e555c939cc936d]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[d3f721f4d5a7290d6f1ea27c21e4d52b]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),,[3d8d5db8413b63d3543779a5d53046ba]
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Выполнил
Почистил, после перезагрузки - появился рабочий стол без ярлыков и прочего, прост опустые обои и винчестер что-то очень напряжённо делал.. Потом винт перешёл в обычный режим, загрузка проца прыгала 0-5 % и так бесконечно..
Следующая перезагрузка - всё ОК, но файлы пока так и остаются зашифрованными..
Что возможно сделать ?
Спасибо.
Без тела шифровальщика невозможно даже алгоритм шифрования определить.
Поэтому с расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
раскодирование
Хм..
Так а где мне взять тело шифровальщика ???
Junior Member
Вес репутации
35
так что с шифрованием ??
Простите, так а где искать тело вируса и как вообще дальше быт ьс расшифровкой ??
Тема в общем-то для этого и создавалась...
Спасибо
Где можем, с расшифровкой помогаем. Но если вирлабы не в силах, что могут сделать простые пользователи...
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect