Вирус Шифровальщик помогите вылечить

[Alexonic]

Помогите расшифровать файлы пожалуйста. Лог теста и пример зашифрованного файла во вложении

[Info_bot]

Уважаемый(ая) Alexonic, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\A44D~1\AppData\Local\Temp\svcgco.exe', '');
 DeleteFile('C:\Users\A44D~1\AppData\Local\Temp\svcgco.exe', '32');
 DeleteFile('C:\Users\A44D~1\AppData\Local\Temp\svcgco.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2696701043', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2696701043', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.




Сделайте повторные логи по правилам. (CollectionLog)

[Alexonic]

Нажимал, пишет ошибка файл уже загружен

- - - - -Добавлено - - - - -

Повторное сканирование

[Sandor]

Тип вымогателя Cryakl последних версий, расшифровки нет.
При наличии лицензии на антивирус Касперского или Dr.Web обратитесь в их ТП (правда, шансов на успех ничтожно мало).

Здесь дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Alexonic]

файлы отчетов

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [2685542] => 2685542
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-125308519-2740093562-817059097-1002\...\MountPoints2: {97ddd2b4-9454-11e1-a156-806e6f6e6963} - E:\WPI.exe
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {842B4729-18E9-464A-8133-FE1C4DB87220} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
  Task: {847E776C-267F-40AE-B4C9-80308F3A1E54} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
  Task: {84958AFB-D7D8-4E87-9348-DB92E7DCE790} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
  Task: {9B05F0F2-EED3-474A-AF28-DAD9F328BA9D} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
  Task: {D6FBD478-4474-407C-8196-045020F8B8F9} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
  Task: {EAC48759-1928-4B14-B650-C1C76348531F} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
  BHO-x32: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> No File
  2020-01-27 01:56 - 2020-01-27 01:56 - 000000096 _____ C:\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\Downloads\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\Documents\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\ЮляП\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\AppData\Roaming\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\AppData\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\▐ы*╧\AppData\Local\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\����\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\����\AppData\README.txt
  2020-01-27 01:53 - 2020-01-27 01:53 - 000000096 _____ C:\Users\����\AppData\Local\README.txt
  2020-01-27 01:34 - 2020-01-27 01:34 - 000000096 _____ C:\Users\ЮляП\Desktop\README.txt
  2020-01-27 01:32 - 2020-01-27 01:32 - 000000096 _____ C:\Users\ЮляП\AppData\Roaming\README.txt
  2020-01-27 01:32 - 2020-01-27 01:32 - 000000096 _____ C:\Users\ЮляП\AppData\README.txt
  2020-01-27 01:21 - 2020-01-27 01:21 - 000000096 _____ C:\Users\ЮляП\AppData\LocalLow\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\ЮляП\AppData\Local\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\ЮляП\AppData\Local\Apps\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\Downloads\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\Documents\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\Desktop\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\Roaming\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\LocalLow\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\user1\AppData\Local\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Public\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Public\Downloads\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\Downloads\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\Documents\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\Desktop\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\Roaming\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\LocalLow\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default\AppData\Local\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\Downloads\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\Documents\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\Desktop\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\LocalLow\README.txt
  2020-01-27 00:55 - 2020-01-27 00:55 - 000000096 _____ C:\Users\Default User\AppData\Local\README.txt
  2020-01-27 00:54 - 2020-01-27 00:54 - 000000096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Все пользователи\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Все пользователи\Desktop\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Public\Documents\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Users\Public\Desktop\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\ProgramData\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\ProgramData\Documents\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\ProgramData\Desktop\README.txt
  2020-01-27 00:53 - 2020-01-27 00:53 - 000000096 _____ C:\Program Files (x86)\README.txt
  2020-01-27 00:48 - 2020-01-27 00:48 - 000000096 _____ C:\Program Files\README.txt
  2020-01-27 00:47 - 2020-01-27 00:47 - 000000096 _____ C:\Users\README.txt
  2020-01-27 00:47 - 2020-01-27 00:47 - 000000096 _____ C:\Program Files\Common Files\README.txt
  2020-01-26 21:00 - 2018-01-15 03:56 - 000000028 _____ C:\Users\ЮляП\Desktop\Shadow.bat
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Пароль на RDP смените.

[Alexonic]

фикс файл

[Sandor]

Если будете обращаться в вирлаб, пока не удаляйте папку C:\FRST.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Alexonic]

СекюритиЧек

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2014-01-09 08:05:19
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4534310 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.1 v.4.5.50938 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.11 (64-разрядная) v.4.11.0 Внимание! Скачать обновления
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления
Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления
Adobe Shockwave Player 11.6 v.11.6.3.633 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.7.1.15383.6004 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.