[@RomzesRomzes]

Помогите расшифровать.
Почта вымогателя PREDSEDATEL@TUTAMAIL.COM

расширения файлов .@#S%^&-().1-C

[@Sandor]

Здравствуйте!

С расшифровкой не обещаем, но очистить активную угрозу и хвосты поможем.

Внимание! Рекомендации написаны специально для пользователя RomzesRomzes. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Код

   begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    QuarantineFile('C:\Users\Admin2\AppData\Local\Mozilla\bodKXMti.exe', '');
    QuarantineFile('C:\Users\Администратор\AppData\Local\Mozilla\bodKXMti.exe', '');
    QuarantineFile('C:\Users\АлинаМокеева\AppData\Local\Temp\wFaTgNWv.exe', '');
    QuarantineFile('C:\Users\АлинаМокеева\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk', '');
    QuarantineFile('C:\Users\Анатолий\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
    QuarantineFile('C:\Users\ВераЛеонова\AppData\Local\1C\OnIVOrQJ.exe', '');
    QuarantineFile('C:\Users\ВикаШаповалова\AppData\Local\1C\OnIVOrQJ.exe', '');
    QuarantineFile('C:\Users\ДмитрийРоманов\AppData\Local\Temp\wFaTgNWv.exe', '');
    QuarantineFile('C:\Users\Екатерина\AppData\Local\Microsoft\wRqbwRiP.exe', '');
    QuarantineFile('C:\Users\ИванМолчанов\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
    QuarantineFile('C:\Users\НаталияБереснева\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
    QuarantineFile('C:\Users\НаталияЛях\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
    QuarantineFile('C:\Users\Роман\AppData\Local\Microsoft\wRqbwRiP.exe', '');
    DeleteFile('C:\Users\Admin2\AppData\Local\Mozilla\bodKXMti.exe', '64');
    DeleteFile('C:\Users\Администратор\AppData\Local\Mozilla\bodKXMti.exe');
    DeleteFile('C:\Users\Администратор\AppData\Local\Mozilla\bodKXMti.exe', '32');
    DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\АлинаМокеева\AppData\Local\Temp\wFaTgNWv.exe');
    DeleteFile('C:\Users\АлинаМокеева\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\АлинаТищенко\AppData\Local\Mozilla\bodKXMti.exe');
    DeleteFile('C:\Users\АлинаТищенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\Анатолий\AppData\Local\VirtualStore\IVWPQxCj.exe');
    DeleteFile('C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\ВераЛеонова\AppData\Local\1C\OnIVOrQJ.exe');
    DeleteFile('C:\Users\ВераЛеонова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\ВикаШаповалова\AppData\Local\1C\OnIVOrQJ.exe');
    DeleteFile('C:\Users\ВикаШаповалова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\ДмитрийРоманов\AppData\Local\Temp\wFaTgNWv.exe');
    DeleteFile('C:\Users\ДмитрийРоманов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\Екатерина\AppData\Local\Microsoft\wRqbwRiP.exe');
    DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\ИванМолчанов\AppData\Local\VirtualStore\IVWPQxCj.exe');
    DeleteFile('C:\Users\ИванМолчанов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\НаталияБереснева\AppData\Local\VirtualStore\IVWPQxCj.exe');
    DeleteFile('C:\Users\НаталияБереснева\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\НаталияЛях\AppData\Local\VirtualStore\IVWPQxCj.exe');
    DeleteFile('C:\Users\НаталияЛях\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    DeleteFile('C:\Users\Роман\AppData\Local\Microsoft\wRqbwRiP.exe');
    DeleteFile('C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
    RegKeyParamDel('HKEY_USERS', 'S-1-5-21-894021001-512919902-4224240697-500\Software\Microsoft\Windows\CurrentVersion\Run', 'JWnotKXE', 'x32');
    RegKeyParamDel('HKEY_USERS', 'S-1-5-21-894021001-512919902-4224240697-500\Software\Microsoft\Windows\CurrentVersion\Run', 'JWnotKXE', 'x64');
   ExecuteSysClean;
   end.

   Пожалуйста, перезагрузите компьютер вручную.
   
   
   После перезагрузки, выполните такой скрипт:
   
   
   Код

   begin
    DeleteFile(GetAVZDirectory+'quarantine.7z');
    ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
   end.

2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
   К сообщению прикреплять файл quarantine.7z не нужно!
   
3. "Пофиксите" в HijackThis:
   
   Код

   O7 - TroubleShooting: (EV) HKU\S-1-5-21-894021001-512919902-4224240697-1013\..\Environment: [TEMP] = (not exist)
   O7 - TroubleShooting: (EV) HKU\S-1-5-21-894021001-512919902-4224240697-1013\..\Environment: [TMP] = (not exist)

4. Подготовьте новый CollectionLog.
   
5. Текстовый (или html) файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

[@RomzesRomzes]

В HijackThis нет таких строк, вот есть такие

[@RomzesRomzes]

Вот архив с файлом обратной связи и пара зашифрованных файлов

[@Sandor]

В HijackThis нет таких строк

Утилиту следует запускать из папки Автологера:

C:\Users\Admin2\Desktop\AutoLogger\HiJackThis\HiJackThis.exe

[@RomzesRomzes]

да, я оттуда и запускал, выдает то же самое

[@Sandor]

Хорошо, делайте повторный CollectionLog.

[@RomzesRomzes]

прикрепил

[@Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

[@RomzesRomzes]

Farbar Recovery

[@Sandor]

Вынужден огорчить, это RotorCrypt и расшифровки для него нет.

Предположу, что попали к вам путем подмены файла C:\Windows\system32\sethc.exe на cmd.exe

Для возврата оригинального воспользуйтесь этим скриптом.

[@RomzesRomzes]

Антивирус выявил
trojan-ransom.win32.encoder.atd