Дешифратор

**asmakovskiy** · 26.10.2019, 09:17

Добрый день.
Словили дешифровщик.
Возможно ли к нему написать дешифровщик. Файл подгрузил.
И что с этим можно сделать?
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.10.2019, 09:20

Уважаемый(ая) asmakovskiy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 26.10.2019, 15:36

Расшифровки нет. Только зачистка мусора.

Выполните скрипт в AVZ из папки Autologger

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\V7VJUH_payload.exe','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V7VJUH_payload.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\V7VJUH_payload.exe','');
 TerminateProcessByName('c:\windows\system32\v7vjuh_payload.exe');
 QuarantineFile('c:\windows\system32\v7vjuh_payload.exe','');
 DeleteFile('c:\windows\system32\v7vjuh_payload.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\V7VJUH_payload.exe','64');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V7VJUH_payload.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','V7VJUH_payload.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Administrator\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\V7VJUH_payload.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

**asmakovskiy** · 26.10.2019, 15:49

То есть это просто вирус? Или я чего то не понимаю?
Восстановлению никак не подлежит?

Спасибо!

**thyrex** · 26.10.2019, 17:40

Расшифровки нет ни в одной антивирусной компании.

**asmakovskiy** · 26.10.2019, 20:29

Сообщение от thyrex

Расшифровки нет ни в одной антивирусной компании.

Понятно, а что можно еще попробовать? Или уже все?
Есть какие-либо варианты?

**thyrex** · 27.10.2019, 07:54

Помогут только сами злодеи. Но обращаться к ним или нет - решать только Вам.

**asmakovskiy** · 29.10.2019, 21:03

Сообщение от thyrex

Помогут только сами злодеи. Но обращаться к ним или нет - решать только Вам.

Понятно, спасибо.

p.s. Можно закрывать тему.

Дешифратор (заявка № 223863)

Опции темы