файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro

Сообщений: 2

Баллов: 1

Регистрация: 21.02.2019

Размещено 21.02.2019 11:54:20

Здравствуйте!
На компьютер попал вирус, зашифровал офисные документы, резервной копии нет. Очень нужна помощь в расшифровке. Прикрепляю образ автозапуска, зашифрованные файлы и письмо от вымогателей.

Прикрепленные файлы

Files.rar (16.48 КБ)
READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.rar (1.69 КБ)
LYUDA_2019-02-20_15-59-25_v4.1.2.7z (888.42 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.02.2019 12:52:32

YY Miko,

При наличие _реальной лицензии ESET по расшифровке обращайтесь в [email protected]

Изменено: RP55 RP55 - 21.02.2019 12:59:16

Сообщений: 2

Баллов: 1

Регистрация: 21.02.2019

Размещено 22.02.2019 13:04:58

Реальной лицензии нет, просто установлен антивирус Eset. Как в таком случае быть? Писать на поддержку? Здесь не помогут?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.02.2019 13:57:14

Цитата
YY Miko написал: Реальной лицензии нет, просто установлен антивирус Eset. Как в таком случае быть? Писать на поддержку? Здесь не помогут?

вы можете приобрести лицензию, и затем написать в [email protected], поскольку вирлабы сейчас оказывают помощь в расшифровке документов бесплатно только своим лицензированным пользователям.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.02.2019 13:58:12

YY Miko

Тех. поддержка помогает только тем у кого есть _оплаченная лицензия.
А на форуме мы вам помочь не можем.

Сообщений: 1

Регистрация: 07.05.2019

Размещено 07.05.2019 08:48:46

Добрый день! Абсолютно все файлы на компьютере зашифрованы с расширением zoro, есть ли у кого-то похожее и было ли решение?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.05.2019 11:59:23

Александр,
добавьте образ автозапуска системы,
+ записку о выкупе и пару зашифрованный и оригинал файл добавьте в архив и поместите в ваше сообщение

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 08.05.2019

Размещено 08.05.2019 20:19:33

Добрый день.
Такая же ситуация, как у Александра. Помогите пожалуйста.
Файл с данными во вложении.
Спасибо.

Прикрепленные файлы

XTREME-GKRRKDC8_2019-05-08_19-46-37_v4.1.5.rar (1.15 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.05.2019 05:37:59

Цитата
Сергей Солодков написал: Такая же ситуация, как у Александра. Помогите пожалуйста.Файл с данными во вложении.

судя по детекту это Scarab

Цитата
Опознан как ransomnote_email: [email protected] sample_extension: .[[email protected]].zoro custom_rule: victim ID format in ransom note

https://id-ransomware.malwarehunterteam.com/identify.php?case=e5b40dbda8c6f763efcd44b1b313dc0a3f5ef1b3

по очистке системы выполните,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTP://SEARCHS-PAISI.RU delref WLCONTROL.DLL zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NEWSI_1799\S_INST.EXE addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029 7 zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\SEARCHPROTECT\BIN\SPVC32LOADER.DLL addsgn A7679B1928664D070E3C71F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DF53529906CB06C1649C9BD9F6307595F4659214E91076E04327C 64 SearchProtect 7 zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE addsgn 1A50909A5583338CF42BFB3A884BFE1DA8C714A5768F1390F23F3A43DB8B79CDD817C2573E26FDC2666807E6321737EEF09A00223FD8E3C4269EA42F4C4BCAF0 8 Win32/Conduit.SearchProtect.H 7 chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\IEXPLORE.BAT delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTЕRNЕT ЕХPLОRЕR.LNK delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\INTЕRNЕT ЕХPLОRЕR (NО АDD-ОNS).LNK delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LАUNСH INTЕRNЕT ЕХPLОRЕR ВRОWSЕR.LNK delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR (2).LNK delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR (3).LNK delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR.LNK delref %SystemDrive%\FIREFOX.BAT delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\МОZILLА FIRЕFОХ.LNK delref %SystemDrive%\USERS\PUBLIC\DESKTOP\МОZILLА FIRЕFОХ.LNK apply regt 27 regt 28 regt 29 ; Surfing Protection exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe ; Search Protect exec C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S deltmp delref %SystemRoot%\SYSWOW64\HASPLMS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\APPLE SOFTWARE UPDATE\SOFTWAREUPDATE.EXE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\MOZILLA PLUGINS\NPITUNES.DLL delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID] delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.65536.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS delref %Sys32%\DRIVERS\DCDBAS64.SYS delref %Sys32%\DRIVERS\DGIVECP.SYS delref %SystemDrive%\PROGRAM FILES (X86)\DELTAFIX\DELTAFIX.DLL delref %Sys32%\DRIVERS\ISODRV64.SYS delref %SystemDrive%\PROGRAM FILES (X86)\REALTEK\USB WIRELESS LAN UTILITY\RTLSERVICE.EXE delref %Sys32%\DRIVERS\RTLSS.SYS delref %Sys32%\DRIVERS\VBOXNETFLT.SYS delref %Sys32%\DRIVERS\VMCI.SYS delref %Sys32%\DRIVERS\VMNETADAPTER.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_5B2A_86.TMP delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_DEFA_15.TMP delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\8.3.5.1248\BIN\COMCNTR.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_625F_49.TMP delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_1FD5_8C.TMP delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_43AB_1C.TMP delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\DROPBOXUPDATEONDEMAND.EXE delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_101\BIN\JP2IEXP.DLL delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\9572A32FEAC27\TEMP\WIN 8.1 ACTIVATOR.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref H:\AUTOCAT.EXE delref %SystemRoot%\SYSWOW64\PLASRV.EXE delref %Sys32%\MCTADMIN111.EXE delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR111.EXE delref K:\SETUP.EXE delref G:\AUTORUN.EXE delref I:\AUTORUN.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ICQM\ICQ.EXE delref {10DB41A2-8A81-4788-B635-ABA6749A7D87}\[CLSID] delref {086C8477-4F71-4550-87FB-AF0AE8DF3E98}\[CLSID] delref {22CC3EBD-C286-43AA-B8E6-06B115F74162}\[CLSID] delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VIRTUAL PC\VIRTUAL PC.EXE delref K:\СПС\CONSULTANTPLUS_BUH\CONS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SCANCODE\КОМПОНЕНТА 1С ДЛЯ ТСД CIPHERLAB\UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://SEARCHS-PAISI.RU
delref WLCONTROL.DLL
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NEWSI_1799\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029 7

zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\SEARCHPROTECT\BIN\SPVC32LOADER.DLL
addsgn A7679B1928664D070E3C71F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DF53529906CB06C1649C9BD9F6307595F4659214E91076E04327C 64 SearchProtect 7

zoo %SystemDrive%\PROGRAM FILES (X86)\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE
addsgn 1A50909A5583338CF42BFB3A884BFE1DA8C714A5768F1390F23F3A43DB8B79CDD817C2573E26FDC2666807E6321737EEF09A00223FD8E3C4269EA42F4C4BCAF0 8 Win32/Conduit.SearchProtect.H 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\IEXPLORE.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTЕRNЕT ЕХPLОRЕR.LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\INTЕRNЕT ЕХPLОRЕR (NО АDD-ОNS).LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LАUNСH INTЕRNЕT ЕХPLОRЕR ВRОWSЕR.LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR (2).LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR (3).LNK
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTЕRNЕT ЕХPLОRЕR.LNK
delref %SystemDrive%\FIREFOX.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\МОZILLА FIRЕFОХ.LNK
delref %SystemDrive%\USERS\PUBLIC\DESKTOP\МОZILLА FIRЕFОХ.LNK
apply

regt 27
regt 28
regt 29
; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe

; Search Protect
exec  C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APPLE SOFTWARE UPDATE\SOFTWAREUPDATE.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\JP2IEXP.DLL
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\MOZILLA PLUGINS\NPITUNES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\DROPBOXEXT.65536.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS
delref %Sys32%\DRIVERS\DCDBAS64.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\DELTAFIX\DELTAFIX.DLL
delref %Sys32%\DRIVERS\ISODRV64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\REALTEK\USB WIRELESS LAN UTILITY\RTLSERVICE.EXE
delref %Sys32%\DRIVERS\RTLSS.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\VMCI.SYS
delref %Sys32%\DRIVERS\VMNETADAPTER.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_5B2A_86.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_DEFA_15.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\8.3.5.1248\BIN\COMCNTR.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_625F_49.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_1FD5_8C.TMP
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\TEMP\V8_43AB_1C.TMP
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\DROPBOXUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_101\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\9572A32FEAC27\TEMP\WIN 8.1 ACTIVATOR.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.29\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref H:\AUTOCAT.EXE
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %Sys32%\MCTADMIN111.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR111.EXE
delref K:\SETUP.EXE
delref G:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ICQM\ICQ.EXE
delref {10DB41A2-8A81-4788-B635-ABA6749A7D87}\[CLSID]
delref {086C8477-4F71-4550-87FB-AF0AE8DF3E98}\[CLSID]
delref {22CC3EBD-C286-43AA-B8E6-06B115F74162}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VIRTUAL PC\VIRTUAL PC.EXE
delref K:\СПС\CONSULTANTPLUS_BUH\CONS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SCANCODE\КОМПОНЕНТА 1С ДЛЯ ТСД CIPHERLAB\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов,
при наличие лицензии на продукт ESET напишите обращение в техническую поддержку [email protected]
(ESET умеет расшифровать некоторые варианты Scarab)

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 18.09.2019

Размещено 18.09.2019 21:38:09

Здравствуйте, пожалуйста помогите!

Поймали шифровальщика, файлы с расширением .scary.
Во вложении зашифрованные и дешифрованные файлы, а также текстовый файл вымогателя.
Сообщите пожалуйста, возможна ли расшифровка файлов?

Прикрепленные файлы

crypto_virus.zip (86.24 КБ)

файлы зашифрованы с расширением .Omerta; .DD; .ukrain; .Scarab; .Scary; .frogo; .bomber; .BD.Recovery; *.zoro , Scarab/Filecoder.FS

Ответы

файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro , Scarab/Filecoder.FS

Ответы

файлы зашифрованы с расширением .Omerta; .DD; .ukrain; .Scarab; .Scary; .frogo; .bomber; .BD.Recovery; *.zoro , Scarab/Filecoder.FS