Зашифрованны файлы [email protected] 0.0.1.0*.cbf

Printable View

27.06.2015, 17:22
Alexey Belostotzkiy

Зашифрованны файлы [email protected] 0.0.1.0*.cbf

Здравствуйте, Virusinfo.
Мне нужна помощь в расшифровке файлов.
У меня есть восстановленный из образа диск от компьютера, поражённого вирусом-шифровальщиком.
Kaspersky Endpoint Security нашёл и удалил на этом диске вирус Trojan-Ransom.Win32.Cryakl.tm .
Пример имени зашифрованного файла:
[email][email protected][/email]-CL 0.0.1.0.id-RSSTUVVWWWXXYYZAABBBCCDDEEFFGHHIIJJK-16.06.2015 [email]12@[email protected][/email]

Есть папка с файлами-оригиналами и эта же папка с зашифрованными файлами.

Жду Вашей помощи.
27.06.2015, 17:24
Info_bot

Уважаемый(ая) [B]Alexey Belostotzkiy[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.06.2015, 17:27
mike 1

[url]http://virusinfo.info/pravila.html[/url]
28.06.2015, 00:18
Alexey Belostotzkiy

Ссылка на файлообменнике:
[url]https://cloud.mail.ru/public/e9s8/fHpMrScac[/url]
где
encoded_01.zip - архив, где папка с зашифрованными файлами ;
originals_01.zip- архив, где папка с оригиналами тех файлов.

Компьютер, пострадавший от шифровальщика, был под Windows 7.
Компьютер, на котором я работаю с диском от пострадавшего компьютера, под Windows XP.
Логи AVZ и HJT с компьютера под Windows XP пришлю завтра.
28.06.2015, 00:21
mike 1

Ждем логи. Просьба в теме не отвечать до того момента пока не будут готовы логи.
28.06.2015, 23:13
Alexey Belostotzkiy

Вложений: 3

Логи AVZ и HJT с компьютера под Windows XP.
29.06.2015, 01:19
mike 1

Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
02.07.2015, 17:11
Alexey Belostotzkiy

Вложений: 2

по VirusDetector:
AVZ не создал файл архива virusinfo_auto_имя_вашего_ПК.zip
во время выполнения скрипта №8.
Но создал папку Quarantine, а в ней подпапку "2015-07-02", куда накидал 24 пары файлов с расширениями .dta и .ini, и именами типа "avz00001.dta".
Что это может означать?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

по Farbar Recovery Scan Tool

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

и ещё файл
02.07.2015, 21:31
mike 1

[QUOTE]Что это может означать?[/QUOTE]
В папке AVZ разве нет zip архива с этими файлами?

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-1741873656-2898374046-309591948-1005 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKU\S-1-5-21-1741873656-2898374046-309591948-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File
BHO: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:72CCCD14
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]