Шифровальщик

**Tavi** · 18.01.2019, 15:38

Добрый день!
гл.бух на почту получила письмо с вложением info.zip якобы от банка. Архив открыла и соответственно потыкала в файл. Запустился шифровальщик. До конца зашифровать все не успел, ребутнули комп. Зловреда погоняли авастом и каспом - удалился (висел в процессе csrcc.exe, антивирусом определился как IDP.ALEXA.51). Можно ли как-то теперь дешифровать файлы. В основном зашифровало файлы с расширением xls.
п.с. архив с файлом-зловредом есть, если нужно вышлю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.01.2019, 15:40

Уважаемый(ая) Tavi, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 19.01.2019, 01:45

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\WINDOWS\system32\cmd.exe /C "start C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows\csrss.exe" (HKCU) (2019/01/18)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = (not exist)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~1\COMMON~1\ave','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows\csrss.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Tavi** · 20.01.2019, 14:38

файл карантина загрузила, отчеты прикрепила

SQ · 20.01.2019, 19:17

Сами это настраивали?

Код:

HKLM Group Policy restriction on software: 1.txt <==== ATTENTION
HKLM Group Policy restriction on software: lwqtabgzcuuofljo.exe <==== ATTENTION
HKLM Group Policy restriction on software: snkb0ptz.exe <==== ATTENTION
HKU\S-1-5-21-4054932732-2240947048-505607613-1365 Group Policy restriction on software: snkb0ptz.exe <==== ATTENTION
HKU\S-1-5-21-4054932732-2240947048-505607613-1365 Group Policy restriction on software: lwqtabgzcuuofljo.exe <==== ATTENTION
HKU\S-1-5-21-4054932732-2240947048-505607613-1365 Group Policy restriction on software: 1.txt <==== ATTENTION

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-4054932732-2240947048-505607613-1365 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
File: C:\Program Files\Print Inspector\pinspserv.exe
File: C:\Program Files\Skype\Updater\Updater.exe
File: C:\WINDOWS\system32\drivers\haspflt.sys
Folder: C:\Documents and Settings\All Users\Application Data\System32
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README9.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README8.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README7.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README6.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README5.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README4.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README3.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README2.txt
2019-01-18 08:29 - 2019-01-18 08:29 - 000004178 _____ C:\README10.txt
Folder: C:\Documents and Settings\All Users\Application Data\Windows
Folder: C:\WINDOWS\security
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51 [154]
Reboot:
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Tavi** · 20.01.2019, 20:44

[QUOTE=SQ;1495255]Сами это настраивали?

нет...настройки по дефолту

Есть ли какие-то шансы дешифровать файлы?

SQ · 20.01.2019, 21:06

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Start::
CreateRestorePoint:
CloseProcesses:
C:\Documents and Settings\All Users\Application Data\System32\xfs
C:\Documents and Settings\All Users\Application Data\System32
C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
End::
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

- - - - -Добавлено - - - - -

Сообщение от Tavi

Есть ли какие-то шансы дешифровать файлы?

Могли бы приложить файлы злоумышлинников о требованиях. И какое расширение у зашифрованных файлов?

**Tavi** · 20.01.2019, 21:30

Сообщение от SQ

Могли бы приложить файлы злоумышлинников о требованиях. И какое расширение у зашифрованных файлов?

расширение .crypted000007.

текст сообщения:
Bашu фaйлы были зашифpованы.
Чmобы расшuфpовaть их, Вам нeобходuмo omпpaвиmь kод:
B46593DF052E8028A936|0
нa электронный адрec [email protected] .
Далeе вы пoлучumе все нeобxoдuмые uнстрykциu.
Попыmkи рaсшuфровaть самоcтoятельно не nрuвeдyт нu k чему, kрoмe безвoзвpатной поmeрu инфopмaцuu.
Eслu вы всё же хoтитe nопыmamьcя, тo nредвaриmeльнo cделaйmе рeзеpвные копиu файлoв, uнaче в слyчae
их uзмeнeния рacшифpовkа cтaнет невозмoжной нu пpu какux ycлoвияx.
Ecлu вы не nолyчилu оmвеma по вышеyказаннoмy aдpeсy в meченue 48 часов (и moлько в эmом слyчaе!),
вoсnoльзуйтeсь формой oбраmной cвязu. Эmо мoжно cделamь двyмя cпocoбaмu:
1) Cкачaйте u ycmaновume Tor Browser по ccылкe: https://www.torproject.org/download/...d-easy.html.en
B aдрecной cmpоkе Tor Browser-а ввeдuтe адрeс:
http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. 3arpyзumcя cтрaница с фoрмoй oбратной cвязu.
2) В любoм бpayзeрe nеpeйдume nо oднoмy uз адреcов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

могу приложить архив с самим вирусом, оригинальным doc-файлом и шифрованным doc-файлом.

- - - - -Добавлено - - - - -

пофиксила

SQ · 21.01.2019, 00:19

К сожалению у нас нет решение(расшифровки), но оно может быть у Лаборатории Касперского (опять же без гарантий), если есть у Вас лицензия на продукты Лаборатории Касперского или других вендров (например DrWeb), пробуйте к ним обратиться.

**Tavi** · 21.01.2019, 01:38

Сообщение от SQ

К сожалению у нас нет решение(расшифровки), но оно может быть у Лаборатории Касперского (опять же без гарантий), если есть у Вас лицензия на продукты Лаборатории Касперского или других вендров (например DrWeb), пробуйте к ним обратиться.

спасибо огромное за помощь

SQ · 21.01.2019, 03:23

Не удаляйте карантин (C:\FRST\Quarantine), пока не решите вопрос с расшифровкой, иногда антивирусные вендоры запрашивают карантин.

**CyberHelper** · 21.01.2019, 03:33

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Шифровальщик (заявка № 221567)

Опции темы