-
Junior Member (OID)
- Вес репутации
- 39
Файлы не открываются, хотя Kaspersky RectorDecryptor вроде бы расшифровал их
Здравствуйте! Вроде бы всегда без проблем справлялся с вирусяками (зачастую при помощи сторонних программ, конечно), но сейчас какой-то сложный вирус попался, хотя вроде бы распространенный.
Для начала при загрузке рабочего стола открывалось вот такое вот сообщение:
Ваш идентификатор: 224Email для связи:
[email protected]
Информация для Вас!
Все файлы с расширениями (*.txt *.xls *.docx *.doc *.cer *.key *.rtf *.xlsx *.text *.ppt *.pdf *.cdx *.cdr *.js *.css *.asm *.jpg *.dbf *.mdb *.sql *.pgp)
и многие другие зашифрованы надежным алгоритмом. Восстановить файлы можно только при помощи уникального ключа, который известен только нам.
Не буду вас отговаривать от обращений к различным "специалистам".Но предупрежу что они вам ничем не помогут, а за то что не помогут еще и денег возьмут.
Если зашифрованные файлы для вас не важны - просто переустновите систему и забудте о этом инциденте.
Если же ваши файлы для вас важны свяжитесь с нами по email:
[email protected] и мы сообщим вам как вернуть их. В теме письма укажите ваш ID.
Файлы вроде бы удалось расшифровать при помощи специальной утилиты от Касперского: Kaspersky RectorDecryptor. Утилита показала, что расшифровала почти все из 26 тысяч файлов. Но в итоге не открываются ни файлы .doc, ни файлы .jpg
При этом при открытии DOC-файлов выходит вот такая вот ошибка:
ОШибкаВорд.jpg
Кто-нибудь уже сталкивался с такой проблемой? И как ее решил? Спасибо)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Юрий Аликаев, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Лог работы RectorDEcryptor найдите на диске С и пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 39
Да, кстати, забыл добавить, что файлы были с таким же расширением, как у многих, создавших недавно на этом форуме темы: oshit.
Вот лог Hijack This: hijackthis.log
- - - Добавлено - - -
Сообщение от
thyrex
Лог работы RectorDEcryptor найдите на диске С и пришлите
На диске C никаких логов нет, возможно потому, что у меня системным диском является D. Но и там по месту своего запуска RectorDEcryptor никаких логов не оставил. Где его конкретно искать, не подскажите? Или может быть Вы помните, как он называется?
- - - Добавлено - - -
Вот логи от AVZ:
-
Файл имеет вид типа RectorDecryptor.2.6.5.0_04.10.2013_19.05.51_log
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 39
Вот лог RectorDescryptor. Пришлось заархивировать его, т.к. он занимал около 14 МБ.
-
Хм, странно
Пришлите несколько проблемных файлов небольшого размера
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 39
Сообщение от
thyrex
Хм, странно
Пришлите несколько проблемных файлов небольшого размера
Загрузчик на сайте не принял файлы, т.к. они повреждены (напротив них стояли красные восклицательные знаки). Залил файлы на Яндекс.диск
-
Не предназначен RectorDecryptor для таких файлов. Это ожидаемо
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 39
Сообщение от
thyrex
Не предназначен RectorDecryptor для таких файлов. Это ожидаемо
Для "таких" - это для каких?)
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 39
Сообщение от
thyrex
Для .oshit-файлов
Понятно)
Как тогда быть?
-
Увы, без обращения к автором вируса не обойтись
В файле D:\Documents and Settings\Lilya\Application Data\textnote.txt.oshit (из лога работы утилиты) находится зашифрованное слово Completed, т.е. шифровальщик закончил работу и удалил файл с ключом шифрования с компьютера
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('D:\DOCUME~1\Lilya\LOCALS~1\Temp\3fed6.exe','');
QuarantineFile('D:\Documents and Settings\Lilya\Local Settings\Temp\qxgww.exe','');
DeleteFile('D:\Documents and Settings\Lilya\Local Settings\Temp\qxgww.exe','32');
DeleteFile('D:\DOCUME~1\Lilya\LOCALS~1\Temp\3fed6.exe','32');
DeleteFile('D:\WINDOWS\Tasks\1mue.job','32');
DeleteFile('D:\WINDOWS\Tasks\9vq0.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 39
Карантил загрузил согласно инструкции.
Новые логи:
-
Проверьте, пожалуйста, загружается ли компьютер в безопасном режиме
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-