файлы зашифрованы с расширением *..CRRRT; *.CCCRRRPPP; *.blocked , unlock92

Здравствуйте. Открыли вложения в письме, после чего все документы зашифровались, добавилось расширение *.blocked
Почитал про эту беду в интернете, понимаю что вероятность расшифровки не особо велика, но надежда умирает последней :)
2 файла выкладываю, до  и после шифрования

Текст письма был следующий:
"Доброго дня, уважаемые коллеги!
У нас произошла катастрофа - в результате пожара практически полностью уничтожен архив, поэтому сейчас мы озадачены восстановлением их копий. Очень просим Вас посмотреть документы из прилагающегося списка. Будем крайне признательны за предоставленные нам копии.

С уважением,
Генеральный директор ООО "АлтайСтройСервис"
Горелов Алексей Алексеевич
656016, г. Барнаул, ул. Советской Армии, 66а, оф. 4-14
т/ф. (977) 767-23-29"

Буду очень признателен если сможете помочь
Здравствуйте, Денис.

По очистке системы, сначала выполните:

http://forum.esetnod32.ru/forum9/topic683/
По подбору дешифратора обратитесь по адресу support@esetnod32.ru
-----------
похоже на unlock92
ESET Technical Support
Здравствуйте, моймали вирус-шифратор
зашифровал документы и добавил к названию файла .blocked
в каждую папку сложены файлы
!!!!!!!!Как восстановить файлы!!!!!!!.txt
с текстом
"Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://ezulxxtwqos5g736.onion -  там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"
и файл
keyvalue.bin
во вложении файлы с вирусом и зараженный файл
unlock92,
https://id-ransomware.blogspot.ru/2016/07/unlock92-ransomware-unlock92india.html
http://www.bleepingcomputer.com/forums/t/618689/unlock92-ransomware-support-topic-crrrt-unlock92indiacom/

-------------
Ivan22,
добавьте образ автозапуска на зашифрованной системе,

если сохранилась ссылка или вредоносное вложение из электронной почты, вышлите в почту safety@chklst.ru в архиве с паролем infected
Изменено: santy - 23.08.2016 01:58:25
по выше указанным ссылкам пока ничего не делал

отправил следующие файлы на почту

файлы
"Акт приема вывесок.xls" - это образец файла который расшифровали для примера
"Акт приема вывесок.xls.blocked"-это зашифрованный файл
"keyvalue.bin" - в каждой папке
"!!!!!!!!Как восстановить файлы!!!!!!!.txt" - в каждой папке
"Автозагрузка.JPG" - принскрин того что в автозагрузке стоит
"заявка ООО Стройтехника.rar" - файл с исходным вирусом
"ELC_logs.zip" - логи от программы ESETLogCollector_rus.exe

как сделать образ автозапуска на зашифрованной системе? WinXp
Изменено: Ivan22 - 23.08.2016 07:01:55
ок, файлы посмотрю.
продублируйте ваше сообщение в support@esetnod32.ru при наличие лицензии на антивирус ESET
инструкция "как создать образ..." в каждом моем сообщении, в подписи.
создал и прикрепил образ

лицензия есть на  ESET только на этом компе он не стоял, если это не важно то сейчас перешлю
Ivan22,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ELENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ELENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\1.3.25.0

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по данному варианту unlock92 думаю еще нет, есть только по первому варианту CRRRT
прогнал скрипт, сделал архив нужных директорий, что дальше?
удалять "!!!!!!!!Как восстановить файлы!!!!!!!.txt", "keyvalue.bin" и зашифрованные файлы с компьютера?
Изменено: Ivan22 - 23.08.2016 13:05:22
Читают тему (гостей: 2)