Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы [Trojan.Win32.Fsysna.ckpt ]

**pmk-24** · 19.11.2015, 10:18

Вчера после открытия файла на рабочем столе появился черный экран с красной надписью:
Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах readme.txt, которые можно найти на любом из дисков.

Текст файла readme.txt
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
063794E47444419E05F0|0
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Все файлы стали с расширением *.breaking_bad
Помогите пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.11.2015, 10:19

Уважаемый(ая) pmk-24, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 19.11.2015, 21:14

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 TerminateProcessByName('c:\users\stroika\appdata\local\uxfdmedia\b4cb6814.exe');
 QuarantineFile('c:\users\stroika\appdata\local\uxfdmedia\b4cb6814.exe','');
 DeleteFile('c:\users\stroika\appdata\local\uxfdmedia\b4cb6814.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**pmk-24** · 20.11.2015, 09:26

Все действия выполнил.

**thyrex** · 21.11.2015, 18:18

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**pmk-24** · 22.11.2015, 16:34

Все действия выполнил. Какой следующий шаг?

**thyrex** · 22.11.2015, 19:47

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2015-11-18 16:13 - 2015-11-20 09:06 - 00000000 ____D C:\Users\stroika\AppData\Local\Uxfdmedia
2015-11-18 16:13 - 2015-11-18 16:13 - 03932214 _____ C:\Users\stroika\AppData\Roaming\6A4D32836A4D3283.bmp
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README9.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README8.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README7.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README6.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README5.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README4.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README3.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README2.txt
2015-11-18 16:13 - 2015-11-18 16:13 - 00000839 _____ C:\Users\stroika\Desktop\README10.txt
2015-11-18 15:58 - 2015-11-20 09:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-18 15:58 - 2015-11-20 09:06 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\stroika\AppData\Local\Temp\B4CB6814.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**pmk-24** · 23.11.2015, 15:20

Выполнил. Какой следующий шаг?

P.s. Вам случайно не нужен ли заражённый архив из-за которого все произошло.

**mike 1** · 23.11.2015, 20:18

С расшифровкой не поможем.

**CyberHelper** · 23.11.2015, 20:28

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\windows\csrss.exe - Trojan.Win32.Fsysna.ckpt ( AVAST4: Win32:Malware-gen )
2. c:\users\stroika\appdata\local\uxfdmedia\b4cb6814. exe - Trojan.Win32.Inject.vnjk ( AVAST4: Win32:Malware-gen )

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы [Trojan.Win32.Fsysna.ckpt ] (заявка № 193046)

Опции темы