Все файлы зашифрованы расширением .crypted000007

**ispanecc** · 30.11.2017, 17:04

Вирус crypted000007 зашифровал все файлы. Пришло письмо на почту, открыли, и все, письмо к сожалению удалили.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.11.2017, 17:05

Уважаемый(ая) ispanecc, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 02.12.2017, 00:30

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**ispanecc** · 02.12.2017, 20:12

Вот

**mike 1** · 03.12.2017, 18:01

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{BDAC9AE5-B0CE-4047-AF8A-EEC695121156}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{BDAC9AE5-B0CE-4047-AF8A-EEC695121156}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{EAA6FA71-03F3-40F9-8274-64D8B36C23F0}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{EAA6FA71-03F3-40F9-8274-64D8B36C23F0}: [DhcpNameServer] 82.163.143.176
SearchScopes: HKU\S-1-5-21-349736918-2364625979-1907265005-1001 -> OldSearch URL = hxxp://searchsimple-a.akamaihd.net/?affID=mt-is&q={searchTerms}&r=299
SearchScopes: HKU\S-1-5-21-349736918-2364625979-1907265005-1001 -> {08447701-3A5D-4F4A-9614-017E20AE3560} URL = hxxp://rts.dsrlte.com/?q={searchTerms}&r=459
SearchScopes: HKU\S-1-5-21-349736918-2364625979-1907265005-1001 -> {0F2291FA-C277-415A-9B51-189B385CB24F} URL = hxxp://www.bing.com/search?FORM=UP97DF&PC=UP97&q={searchTerms}&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-349736918-2364625979-1907265005-1001 -> {60BC5F87-E4E3-40D4-8551-004FD2F5BF50} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=412
CHR Extension: (No Name) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgkfochogicbgghgeoedahjlgkhhffoo [2014-12-16]
CHR Extension: (No Name) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlekdnjpgajfkijgkfdffdndpmgjnicm [2015-04-07]
2017-11-20 15:16 - 2016-10-02 08:22 - 000000000 ____D C:\Users\Все пользователи\{28a57e1c-212c-1}
2017-11-20 15:16 - 2016-10-02 08:22 - 000000000 ____D C:\ProgramData\{28a57e1c-212c-1}
2017-11-20 14:48 - 2016-10-05 12:56 - 000000000 ____D C:\Users\Все пользователи\7ac4aa33-40d1-1
2017-11-20 14:48 - 2016-10-05 12:56 - 000000000 ____D C:\ProgramData\7ac4aa33-40d1-1
Task: {2C022FA3-F15E-4B2B-A5A4-50DC2A0CA31D} - System32\Tasks\{42C99819-F562-2FB2-2673-DC18C150A940} => C:\ProgramData\{F80695B1-4FAD-221A-89BF-7205FD359CBF}\4474FD39-F3DF-4A92-7490-01AB69423D6A.exe <==== ATTENTION
Task: {2EDB05A2-40ED-44A5-BFDC-4B53B449A4DF} - \{1B86127D-AC2D-A5D6-AA48-044CA6C09DC1} -> No File <==== ATTENTION
Task: {45ECBDBF-73F9-4BCA-B632-52158806470C} - \{AD84EAB0-1A2F-5D1B-A22D-D3EE0F531701} -> No File <==== ATTENTION
Task: {47CC3C00-865E-4E05-A3AD-D20C30C14ED9} - \{3D796993-8AD2-DE38-4638-671757CD675A} -> No File <==== ATTENTION
Task: {52402ACA-B63A-48FF-A301-0AB1D77C2159} - \{C1B4D35E-761F-64F5-3930-76709B836608} -> No File <==== ATTENTION
Task: {5514774F-89B3-42A3-BF6C-10A91F503292} - \{F54D7250-42E6-C5FB-7C01-90E8417801C5} -> No File <==== ATTENTION
Task: {56A5AC43-A1DD-4CE5-BD43-E8AA094857FE} - System32\Tasks\{F67F603E-C859-C98A-32AA-C47A4CDE074E} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\ed1e083a\d63db334.dll" <==== ATTENTION
Task: {65786F33-83B3-4640-9445-589891A7CF4C} - \{B751D2F7-00FA-655C-E537-E9898F1CD7B1} -> No File <==== ATTENTION
Task: {771F9268-BADA-49C4-8153-CC419BFA7324} - \{384D66EF-8FE6-D144-9906-674DF38F0B05} -> No File <==== ATTENTION
Task: {9AE9C6A6-E391-48F5-8DDC-CE5F3671622D} - System32\Tasks\Yahoo! Search Updater => wscript.exe //B "C:\Users\Пользователь\AppData\Local\Pay-By-Ads\Yahoo! Search\1.4.2.5\..\updt.js" <==== ATTENTION
Task: {E82409E1-B64A-49DE-B231-B886BAC8C262} - \{CD2A2BCA-7A81-9C61-86D8-D8E79412351C} -> No File <==== ATTENTION
Task: {E89B60FE-ACBB-4C91-87E0-C18ECE80C96B} - System32\Tasks\Super PC Cleaner Monitor => C:\Program Files (x86)\SuperPCCleaner\PerformanceMonitor.exe
Task: {F79C03DC-4AE0-414B-B903-AA9C03379030} - \{27ED919D-9046-2636-6B1D-93B3314D0B17} -> No File <==== ATTENTION

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**ispanecc** · 03.12.2017, 18:31

Сделано

**mike 1** · 04.12.2017, 19:26

С расшифровкой не поможем. Смените все пароли. Ваши ошибки которые привели к шифрованию файлов:

1.

Пользователь (S-1-5-21-349736918-2364625979-1907265005-1001 - Administrator - Enabled) => C:\Users\Пользователь

Зачем пользователю права администратора? Он что администратор? Бухгалтерам и офисным клеркам эти права ни к чему.

2.

AV: Kaspersky Internet Security (Disabled - Up to date) {86367591-4BE4-AE08-2FD9-7FCB8259CD98}

Нормальный антивирус был установлен уже после заражения компьютера.

3.

Пришло письмо на почту, открыли, и все, письмо к сожалению удалили.

Если использовалась корпоративная электронная почта, то почему на Exchange не настроены политики, которые блокируют потенциально опасные типы файлов?

Все файлы зашифрованы расширением .crypted000007 (заявка № 216519)

Опции темы