Здравствуйте, Virusinfo.
Мне нужна помощь в расшифровке файлов.
У меня есть восстановленный из образа диск от компьютера, поражённого вирусом-шифровальщиком.
Kaspersky Endpoint Security нашёл и удалил на этом диске вирус Trojan-Ransom.Win32.Cryakl.tm .
Пример имени зашифрованного файла: [email protected]-CL 0.0.1.0.id-RSSTUVVWWWXXYYZAABBBCCDDEEFFGHHIIJJK-16.06.2015 12@[email protected]
Есть папка с файлами-оригиналами и эта же папка с зашифрованными файлами.
Жду Вашей помощи.
Последний раз редактировалось Alexey Belostotzkiy; 27.06.2015 в 17:27.
Причина: неправильно отображаетсяимя файла
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Alexey Belostotzkiy, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ссылка на файлообменнике: https://cloud.mail.ru/public/e9s8/fHpMrScac
где
encoded_01.zip - архив, где папка с зашифрованными файлами ;
originals_01.zip- архив, где папка с оригиналами тех файлов.
Компьютер, пострадавший от шифровальщика, был под Windows 7.
Компьютер, на котором я работаю с диском от пострадавшего компьютера, под Windows XP.
Логи AVZ и HJT с компьютера под Windows XP пришлю завтра.
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
по VirusDetector:
AVZ не создал файл архива virusinfo_auto_имя_вашего_ПК.zip
во время выполнения скрипта №8.
Но создал папку Quarantine, а в ней подпапку "2015-07-02", куда накидал 24 пары файлов с расширениями .dta и .ini, и именами типа "avz00001.dta".
Что это может означать?
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-1741873656-2898374046-309591948-1005 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKU\S-1-5-21-1741873656-2898374046-309591948-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File
BHO: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:72CCCD14
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.