Файлы не открываются, хотя Kaspersky RectorDecryptor вроде бы расшифровал их

**Юрий Аликаев** · 22.11.2013, 08:33

Здравствуйте! Вроде бы всегда без проблем справлялся с вирусяками (зачастую при помощи сторонних программ, конечно), но сейчас какой-то сложный вирус попался, хотя вроде бы распространенный.

Для начала при загрузке рабочего стола открывалось вот такое вот сообщение:

Ваш идентификатор: 224Email для связи: [email protected]

Информация для Вас!
Все файлы с расширениями (*.txt *.xls *.docx *.doc *.cer *.key *.rtf *.xlsx *.text *.ppt *.pdf *.cdx *.cdr *.js *.css *.asm *.jpg *.dbf *.mdb *.sql *.pgp)
и многие другие зашифрованы надежным алгоритмом. Восстановить файлы можно только при помощи уникального ключа, который известен только нам.

Не буду вас отговаривать от обращений к различным "специалистам".Но предупрежу что они вам ничем не помогут, а за то что не помогут еще и денег возьмут.
Если зашифрованные файлы для вас не важны - просто переустновите систему и забудте о этом инциденте.
Если же ваши файлы для вас важны свяжитесь с нами по email: [email protected] и мы сообщим вам как вернуть их. В теме письма укажите ваш ID.

Файлы вроде бы удалось расшифровать при помощи специальной утилиты от Касперского: Kaspersky RectorDecryptor. Утилита показала, что расшифровала почти все из 26 тысяч файлов. Но в итоге не открываются ни файлы .doc, ни файлы .jpg

При этом при открытии DOC-файлов выходит вот такая вот ошибка:

ОШибкаВорд.jpg

Кто-нибудь уже сталкивался с такой проблемой? И как ее решил? Спасибо)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.11.2013, 08:34

Уважаемый(ая) Юрий Аликаев, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 22.11.2013, 23:54

Лог работы RectorDEcryptor найдите на диске С и пришлите

**Юрий Аликаев** · 23.11.2013, 10:03

Да, кстати, забыл добавить, что файлы были с таким же расширением, как у многих, создавших недавно на этом форуме темы: oshit.

Вот лог Hijack This: hijackthis.log

- - - Добавлено - - -

Сообщение от thyrex

Лог работы RectorDEcryptor найдите на диске С и пришлите

На диске C никаких логов нет, возможно потому, что у меня системным диском является D.

Но и там по месту своего запуска RectorDEcryptor никаких логов не оставил. Где его конкретно искать, не подскажите? Или может быть Вы помните, как он называется?

- - - Добавлено - - -

Вот логи от AVZ:

Информация

virusinfo_syscure.zip
virusinfo_syscheck.zip

**thyrex** · 23.11.2013, 11:23

Файл имеет вид типа RectorDecryptor.2.6.5.0_04.10.2013_19.05.51_log

**Юрий Аликаев** · 23.11.2013, 11:44

Вот лог RectorDescryptor. Пришлось заархивировать его, т.к. он занимал около 14 МБ.

Информация

RectorDecryptor.2.6.8.0_22.11.2013_09.53.54_log.zip

**thyrex** · 23.11.2013, 13:02

Хм, странно
Пришлите несколько проблемных файлов небольшого размера

**Юрий Аликаев** · 24.11.2013, 09:15

Сообщение от thyrex

Хм, странно
Пришлите несколько проблемных файлов небольшого размера

Загрузчик на сайте не принял файлы, т.к. они повреждены (напротив них стояли красные восклицательные знаки). Залил файлы на Яндекс.диск

Информация

http://yadi.sk/d/1Z1hawuiDCYE2

**thyrex** · 24.11.2013, 11:23

Не предназначен RectorDecryptor для таких файлов. Это ожидаемо

**Юрий Аликаев** · 24.11.2013, 11:47

Сообщение от thyrex

Не предназначен RectorDecryptor для таких файлов. Это ожидаемо

Для "таких" - это для каких?)

**thyrex** · 24.11.2013, 11:53

Для .oshit-файлов

**Юрий Аликаев** · 24.11.2013, 12:14

Сообщение от thyrex

Для .oshit-файлов

Понятно)
Как тогда быть?

**thyrex** · 24.11.2013, 12:19

Увы, без обращения к автором вируса не обойтись

В файле D:\Documents and Settings\Lilya\Application Data\textnote.txt.oshit (из лога работы утилиты) находится зашифрованное слово Completed, т.е. шифровальщик закончил работу и удалил файл с ключом шифрования с компьютера

**thyrex** · 25.11.2013, 21:03

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\DOCUME~1\Lilya\LOCALS~1\Temp\3fed6.exe','');
 QuarantineFile('D:\Documents and Settings\Lilya\Local Settings\Temp\qxgww.exe','');
 DeleteFile('D:\Documents and Settings\Lilya\Local Settings\Temp\qxgww.exe','32');
 DeleteFile('D:\DOCUME~1\Lilya\LOCALS~1\Temp\3fed6.exe','32');
 DeleteFile('D:\WINDOWS\Tasks\1mue.job','32');
 DeleteFile('D:\WINDOWS\Tasks\9vq0.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Юрий Аликаев** · 30.11.2013, 05:54

Карантил загрузил согласно инструкции.

Новые логи:

Информация

hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip

**thyrex** · 30.11.2013, 12:51

Проверьте, пожалуйста, загружается ли компьютер в безопасном режиме

Сделайте лог полного сканирования МВАМ

**CyberHelper** · 30.11.2013, 13:01

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

Файлы не открываются, хотя Kaspersky RectorDecryptor вроде бы расшифровал их (заявка № 150092)

Опции темы