Тип файла "CRYPTED!" Помогите расшифровать файлы после вируса

[BNN]

Здравствуйте.
Вирус зашифровал все личные файлы (документы, фото, музыку, видео, и тд)
В интернете рекомендовали утилиту "te19decrypt" эта утилита не работает (Неправильный ключевой файл c:\crypted.txt), также попробовал утилиту "rectordecryptor". Утилита просит файл "Crypted.txt", указываю путь к файлу, начинается процедура расшифровки, после расшифровки в папке с зашифрованными файлами (Изображение 001.jpg.Rc63M9 тип CRYPTED!) появляется файл с нормальным расширением (Изображение 001.jpg тип Рисунок JPEG) но он не открывается (Средству просмотра фотографий Windows не удалось открыть это изображение, поскольку файл поврежден или слишком велик). Такая же история происходит и с текстовыми файлами и со всеми остальными.

Файл "Crypted.txt" выглядит так:

’®¬ ў гбва®©б⢥ E Ё¬ҐҐв ¬ҐвЄг ( BNN )
‘ҐаЁ©*л© *®¬Ґа ⮬ : 7C6A-12C6
‘®¤Ґа¦Ё¬®Ґ Ї ЇЄЁ E:\”®в®
’®¬ ў гбва®©б⢥ C *Ґ Ё¬ҐҐв ¬ҐвЄЁ.
‘ҐаЁ©*л© *®¬Ґа ⮬ : ECA8-8A65
‘®¤Ґа¦Ё¬®Ґ Ї ЇЄЁ C:\Users\BNN

hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip

Помогите пожалуйста!
БОЛЬШОЕ СПАСИБО ЗА ПОМОЩЬ!

[Info_bot]

Уважаемый(ая) BNN, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Несколько зашифрованных файлов выложите в архиве на rghost.ru и пришлите ссылку

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\BNN\AppData\Local\JvPIFpBDKy\aTphO4.bat','');
 QuarantineFile('C:\ProgramData\CvcehpRL\SCvQSanU3.bat','');
 QuarantineFile('C:\ProgramData\lOWRaKPRE\SlSdOwK5.bat','');
 DeleteFile('C:\ProgramData\lOWRaKPRE\SlSdOwK5.bat','32');
 DeleteFile('C:\ProgramData\CvcehpRL\SCvQSanU3.bat','32');
 DeleteFile('C:\Users\BNN\AppData\Local\JvPIFpBDKy\aTphO4.bat','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[BNN]

Здравствуйте.

Большое СПАСИБО за то что не проигнорировали мою просьбу о помощи, и не даёте мошенникам возможности зарабатывать на чужой беде.

Ссылка на заражённые файлы " http://rghost.ru/8HgCMBFCx "

Check_Browsers_LNK.logvirusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

Как то так. До свидания.

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[BNN]

Здравствуйте.

Выполняю ВАШИ рекомендации, прикрепляю логи.

ClearLNK-21.10.2015_08-11.logFRST.txtAddition.txt

СПАСИБО!
До свидания.

[thyrex]

Что запускали перед появлением шифрования?

[BNN]

Здравствуйте.
Точно не помню, но по моему не было запущено не каких программ.
Я в интернете (браузер "Opera 32.0.1948.69") пытался скачать программу "reimage repair rus + ключ", соответственно взломанную, поэтому на всякие кряки и тп. антивирус "AVG" возмущался и я его отключил.
Во время поиска программы загрузилась всякая хрень, типа "Амиго","Комета", "поиск в интернете mail.ru" и тп., также пока я искал в интернете программу обратил внимание что в системники происходят какие то процессы (лампочка HDD постоянно горит, жёсткий диск гримит что то грузит) теперь я понимаю что происходила зашифровка файлов. Взломанную программу "reimage repair rus + ключ" я так и не скачал а только подцепил "геморрой".
После неудачной попытка скачать "reimage repair rus + ключ" запусти программу " Revo Uninstaller Pro" чтобы удалить мусор типа "Амиго"
На следующий день обнаружил что все личные файлы зашифрованы. Запустил "AVG" он что то вылечил что то удалил, я сам пытался удалить текстовый файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ" но они оказались в каждой каждой папки на всех дисках, когда пробовал удалять текстовые файлы неверно удалил "Crypted.txt".
Стал читать рекомендации в интернете вижу что этот файл необходим для расшифровки, откатил систему файл "Crypted.txt" появился, но процедура лечения не помогла (описал в просьбе о помощи).
Было как то так.
СПАСИБО. До свидания.

P.S/ На всякий случай текст послания.
Для того, чтобы расшифровать файлы вам необходимо написать на емейл: [email protected] или [email protected]
В письме вам необходимо сообщить нам вашу страну проживания и ваш ID.
Услуги по расшифровке платные. Стоимость составляет 10$. Просьба не писать, если вы не собираетесь оплачивать.
На проверку вы можете прислать нам 2-3 небольших зашифрованных файла (до 3 мегабайт каждый) и мы их расшифруем совершенно бесплатно.
Ваш ID s4785694

[thyrex]

te19decrypt

он тут бы и не помог

Запустил "AVG" он что то вылечил что то удалил

Что именно удалено было, посмотреть возможно?

[BNN]

Здравствуйте.
Вот несколько скринов из хранилища вирусов "AVG"
ссылка: http://rghost.ru/7NsQfxpkc
Может после отката системы что то пропало, не знаю.
Всё чем могу.
СПАСИБО.
До свидания.

[thyrex]

Тот, что в 9:00:34 14 октября удален мне нужен, чтобы написать расшифровку

[BNN]

Здравствуйте.
Сбрасываю архив с вирусом "Autoit".
Ссылка: http://rghost.ru/8vmsSgxmK
СПАСИБО.
До свидания.

[thyrex]

Информация о расшифровке отправлена в личные сообщения

[BNN]

ОГРОМНОЕ, ОГРОМНОЕ СПАСИБО!!!
За проделанную работу. При полном функционале файла (фото) расшифровываются до половины но если расшифровать каждый по отдельности то всё ОК!
Огромное СПАСИБО за ВАШЕ умение, и ТЕРПЕНИЕ к чужой беде!
РЕСПЕКТ! и УВАЖУХА!
С УВАЖЕНИЕМ! BNN!

[thyrex]

Просто при большом количестве файлов и длинному пути к ним возможно переполнение с ошибкой нехватки памяти

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены