Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *..CRRRT; *.CCCRRRPPP; *.blocked , unlock92

1 2 След.
RSS
 
Денис Криволуцкий
Денис Криволуцкий
Пользователь
Сообщений: 1
Регистрация: 22.10.2015
Размещено 22.10.2015 10:20:35
Здравствуйте. Открыли вложения в письме, после чего все документы зашифровались, добавилось расширение *.blocked
Почитал про эту беду в интернете, понимаю что вероятность расшифровки не особо велика, но надежда умирает последней :)
2 файла выкладываю, до  и после шифрования

Текст письма был следующий:
"Доброго дня, уважаемые коллеги!
У нас произошла катастрофа - в результате пожара практически полностью уничтожен архив, поэтому сейчас мы озадачены восстановлением их копий. Очень просим Вас посмотреть документы из прилагающегося списка. Будем крайне признательны за предоставленные нам копии.

С уважением,
Генеральный директор ООО "АлтайСтройСервис"
Горелов Алексей Алексеевич
656016, г. Барнаул, ул. Советской Армии, 66а, оф. 4-14
т/ф. (977) 767-23-29"

Буду очень признателен если сможете помочь
 
Валентин
Валентин
Администратор
Сообщений: 5146
Баллов: 4126
Регистрация: 12.05.2010
Размещено 22.10.2015 10:37:26
Здравствуйте, Денис.

По очистке системы, сначала выполните:

http://forum.esetnod32.ru/forum9/topic683/
По подбору дешифратора обратитесь по адресу [email protected]
-----------
похоже на unlock92
ESET Technical Support
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 22.08.2016 20:25:29
Здравствуйте, моймали вирус-шифратор
зашифровал документы и добавил к названию файла .blocked
в каждую папку сложены файлы
!!!!!!!!Как восстановить файлы!!!!!!!.txt
с текстом
"Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: [email protected]
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://ezulxxtwqos5g736.onion -  там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"
и файл
keyvalue.bin
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 22.08.2016 20:27:36
во вложении файлы с вирусом и зараженный файл
 
santy
santy
Администратор
Сообщений: 17846
Баллов: 14276
Регистрация: 16.03.2010
Размещено 23.08.2016 01:38:49
unlock92,
https://id-ransomware.blogspot.ru/2016/07/unlock92-ransomware-unlock92india.html
http://www.bleepingcomputer.com/forums/t/618689/unlock92-ransomware-support-topic-crrrt-unlock92indiacom/

-------------
Ivan22,
добавьте образ автозапуска на зашифрованной системе,

если сохранилась ссылка или вредоносное вложение из электронной почты, вышлите в почту [email protected] в архиве с паролем infected
Изменено: santy - 23.08.2016 01:58:25
[ Как создать образ автозапуска? ]
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 23.08.2016 06:54:33
по выше указанным ссылкам пока ничего не делал

отправил следующие файлы на почту

файлы
"Акт приема вывесок.xls" - это образец файла который расшифровали для примера
"Акт приема вывесок.xls.blocked"-это зашифрованный файл
"keyvalue.bin" - в каждой папке
"!!!!!!!!Как восстановить файлы!!!!!!!.txt" - в каждой папке
"Автозагрузка.JPG" - принскрин того что в автозагрузке стоит
"заявка ООО Стройтехника.rar" - файл с исходным вирусом
"ELC_logs.zip" - логи от программы ESETLogCollector_rus.exe

как сделать образ автозапуска на зашифрованной системе? WinXp
Изменено: Ivan22 - 23.08.2016 07:01:55
 
santy
santy
Администратор
Сообщений: 17846
Баллов: 14276
Регистрация: 16.03.2010
Размещено 23.08.2016 07:01:06
ок, файлы посмотрю.
продублируйте ваше сообщение в [email protected] при наличие лицензии на антивирус ESET
инструкция "как создать образ..." в каждом моем сообщении, в подписи.
[ Как создать образ автозапуска? ]
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 23.08.2016 07:11:48
создал и прикрепил образ

лицензия есть на  ESET только на этом компе он не стоял, если это не важно то сейчас перешлю
 
santy
santy
Администратор
Сообщений: 17846
Баллов: 14276
Регистрация: 16.03.2010
Размещено 23.08.2016 07:24:43
Ivan22,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ELENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ELENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\1.3.25.0

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по данному варианту unlock92 думаю еще нет, есть только по первому варианту CRRRT
[ Как создать образ автозапуска? ]
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 23.08.2016 12:44:27
прогнал скрипт, сделал архив нужных директорий, что дальше?
удалять "!!!!!!!!Как восстановить файлы!!!!!!!.txt", "keyvalue.bin" и зашифрованные файлы с компьютера?
Изменено: Ivan22 - 23.08.2016 13:05:22
 
1 2 След.
Читают тему (гостей: 1)