Помогите расшифровать файлы, злыдни просят 15 тыс. руб.
В день заражения его ловили только 3 антивируса нерусских.
https://www.virustotal.com/ru/file/9...is/1460145236/
Протоколы получены запуском в виртуалбоксе, на работающем сервере эксперименты проводить неохота.
Вирус уже удалён, нужна расшифровка файлов.
Ключ странно короткий, файл HKAABODHYO.WZA 81 байт всего.
Образцы 2х исходных и шифрованных фото (jpg) вложены.
Начало тут было: http://safezone.cc/threads/email-tro...-0-0-id.27436/
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kpfk, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Нет у тебя больше файлов. Кстати от первого шифровальщика все равно следы остались.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера.Код:begin DeleteFile('C:\Program Files\service.exe','32'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\revlt.js','32'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\VAULT.txt','32'); DeleteFile('C:\Documents and Settings\1\Application Data\VAULT.hta','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vltnotify','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vlt notify','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VAULT Notification','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tnotify','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GnuPG','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); ExecuteSysClean; RebootWindows(true); end.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Насколько часто выходят программы расшифровки типа
https://support.kaspersky.ru/viruses/disinfection/11333
http://download.geo.drweb.com/pub/dr...567decrypt.exe ??
У др.вебов почему-то ИНН вымогателя 2 года не меняется
Если вирус был запущен в терминальном сеансе винды, настроенной на удаление временных папок при выходе, есть шансы на сохранность ключа шифрования? Писать в %program files% user не мог, а вирус запчасти туда складывал или в %temp%.
Для этого шифровальщика не будет расшифровки. Ключевая информация шифруется тремя разными RSA ключами по 2048 бит каждый.
Он локально не сохраняет ключи. В тушке шифровальщика прописаны 3 публичных RSA ключа, которыми он и шифрует ключевую информацию, необходимую для расшифровки файлов.есть шансы на сохранность ключа шифрования?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Если удалить интерпретаторы Windows Script Host (файлы wscript.exe, cscript.exe), то какие-то полезные программы это почувствуют?
Дома-то я их снёс без последствий, но винда морально старевшая, всяческие несовместимости постепенно нарастают.
А "вирусня" долго ещё будет ими пользоваться?
Такие трояны уже работают в 64-битной среде?
Зачем их удалять? Вообще это системные файлы, а удаление системных файлов обычно ни к чему хорошему не приводит.Если удалить интерпретаторы Windows Script Host (файлы wscript.exe, cscript.exe), то какие-то полезные программы это почувствуют?
Работают. Такие шифровальщики есть и под Linux с MacOS, но они пока находятся на стадии развития.Такие трояны уже работают в 64-битной среде?
Этот вопрос я не понял.А "вирусня" долго ещё будет ими пользоваться?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
nwscript.exe точно мне не нужен, запчасть от мертвой ОСи, которую я лет 15 назад только видел.Сообщение от mike 1
GWX вы тоже имеете и пользуетесь?
Если по клику на *.js файле откроется блокнот, а не интерпретатор команд, когда хакеры это исправят?
Т.е. будут ли они переходить от локальных скриптов к полноценным .exe при снижении денежного потока?
У меня Windows 10 установлена.GWX вы тоже имеете и пользуетесь?
Running from C:\Users\Mike\Desktop
Windows 10 Pro Version 1511 (X64) (2016-01-17 20:11:29)
Boot Mode: NormalПо умолчанию не откроется, но если применить такой твик, то откроется редактор.Если по клику на *.js файле откроется блокнот, а не интерпретатор команд, когда хакеры это исправят?
Код:Windows Registry Editor Version 5.00 ;Включить отображение расширения файла [HKEY_CLASSES_ROOT\JSFile] "AlwaysShowExt"="" "BrowserFlags"=dword:00000008 ;По умолчанию открывать файл в редакторе [HKEY_CLASSES_ROOT\JSFile\Shell] @="Edit"Это вы у них спросите.Т.е. будут ли они переходить от локальных скриптов к полноценным .exe при снижении денежного потока?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
А потом комбофикс или FRST это исправят в "нормальное" состояние. Или microsoft выпустит очередной BSOD "патч" или GWXIII, хуже вируса
Ваши права в разделе
Ответить с цитированием
