Помогите расшифровать id-A885508C.[Trojan-Ransom.Win32.Crusis.to]

Printable View

19.07.2019, 06:39
anter13

Вложений: 1

Помогите расшифровать id-A885508C.[Trojan-Ransom.Win32.Crusis.to]

Добрый день!
Помогите расшифровать файлы после шифровальщика с окончанием id-A885508C.[[email protected]]
19.07.2019, 06:41
Info_bot

Уважаемый(ая) [B]anter13[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.07.2019, 07:53
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
19.07.2019, 16:49
anter13

Вложений: 1

отправил

отправил

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Сможете помочь?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Не могу добавить файл в карантин, Ошибка карантина файла, попытка прямого чтения (Анализ ДТП 2009 по ААК.doc.id-A885508C.[[email protected]])
Карантин с использованием прямого чтения - ошибка
20.07.2019, 10:20
thyrex

C:\Users\Лена\AppData\Roaming\payload3.exe заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Увы, расшифровки нет. Только чистка мусора.

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
2019-05-07 18:34 - 2019-05-07 18:34 - 000000000 ____D C:\Users\BUH1\AppData\Roaming\Process Hacker 2
2018-08-20 08:19 - 2018-08-20 08:19 - 000285184 ____H (Microsoft Corporation) C:\ProgramData\audio.exe
2019-07-18 12:59 - 2019-07-18 12:59 - 000094720 _____ C:\Users\Лена\AppData\Roaming\payload3.exe
File: C:\Users\BUH1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6879fe793de5f826544fc9bd3b3ae212.exe
File: C:\Users\BUH1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win_x86.vbs
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: [b]перезагрузка компьютера[/b] нужно выполнить вручную после этого скрипта.[/list]
22.07.2019, 05:34
anter13

Вложений: 1

fixlog

можно узнать с какого рабочего места проник шифровальщик?
22.07.2019, 08:17
thyrex

Судя по тому, что сам шифратор найден под пользователем Лена, возможно сломали ее учетку. А с другой стороны папка Process Hacker 2 найдена под пользователем BUH1.

C:\Users\BUH1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win_x86.vbs проверьте на virustotal.com и пришлите ссылку на результат анализа.
22.07.2019, 08:43
anter13

[url]https://www.virustotal.com/gui/file/c68bc85e87222e324bfd920e63eac65b934410e53ab183f125e93caa4ea0d3d1/detection[/url]
22.07.2019, 10:00
thyrex

На этом закончим
22.07.2019, 10:16
anter13

[QUOTE=thyrex;1502607]На этом закончим[/QUOTE]
Спасибо!
22.07.2019, 10:26
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]1[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \payload3.exe - [B]Trojan-Ransom.Win32.Crusis.to[/B] ( BitDefende=
r: Gen:Trojan.Heur.FU.fmW@aaAaGKm, AVAST4: Win32:RansomX-gen [Ransom] =
)[/LIST][/LIST]