Вирус шифровальщик прислал письмо якобы с арбитражного суда. N-ая личность поганой наружности просит отправить 10 тысяч деревянных.

[VladimirVV]

Доброго времени, господа вирусорасшифровщики. Случилась такая проблема, вирус зашифровал все мои рабочие документы, написав после расширения каждого документа [email protected]_green. (выглядит как [email protected]_green)
К письму прилагаю логи из AVZ4 и HiJackThis. Также, прилагаю к письму файл зашифрованный, и его рабочую копию в архиве OneDrive-2014-04-01.zip. (была на флешке)
Пожалуйста, выручайте!
UPD.
При загрузке virusinfo_syscheck возникает какая-то ошибка на сайте.

[Info_bot]

Уважаемый(ая) VladimirVV, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Пересоздайте ярлыки запуска браузеров

Выполните скрипт в AVZ

Код:

begin
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
ExecuteSysClean;
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[VladimirVV]

А, да, забыл уточнить.
Вирус этот на том компьютере, с которого я сижу сейчас, успел поработать совсем недолго, и заразил лишь самую меньшую часть файлов. (20-30 штук)
Он качественно поработал на моём рабочем компьютере.
На этом же компьютере я его запустил, и успел отключить очень быстро, при этом, быстро стерев все его файлы.

//Логи почти готовы.

- - - Добавлено - - -

Вот логи.
Скрипт выполнил.

У меня есть несколько файлов расшифрованных с помощью оригинального дешифратора (попросил расшифровать у вымогателя часть жизненноважных для меня файлов). Могу приложить, если требуется.

[mike 1]

Лог MBAM не тот прикрепили.

[VladimirVV]

После полного сканирования прога показала путь к логу в programdata.
Эм.. Где взять 'тот' лог?

[mike 1]

Здесь http://virusinfo.info/showthread.php...57#post1104657 написано как сделать лог MBAM в новой версии MBAM.

[VladimirVV]

Простите за такую долгую задержку.
Не было времени на проверку.
Вот, лог MBAM, только что сделанный.

[thyrex]

Удалите в МВАМ все, кроме

Код:

Hacktool.Agent, C:\Users\DuNm3R_h\Desktop\N??»?µN????°\????N??????°N???N?N?\W7\Loader by Daz 2.1\Windows Loader.exe, , [619ff10f8b75a65a979ae062f20f14ec], 
Trojan.Dropped, C:\Users\DuNm3R_h\Desktop\N??»?µN????°\????N??????°N???N?N?\W8\Load_Win8_RTM_ALL\Load Win8 RTM ALL\????N??????°N???N?_Win8_RTM_ALL.exe, , [7090dd23b050ac544f72f9734db45da3], 
PUP.PSWTool.ProductKey, C:\Users\DuNm3R_h\Desktop\N??»?µN????°\????N??????°N???N?N?\W81\KMSAuto_Net_1.0.1\KMSAuto Net 1.0.1\KMSAuto Net 1.0.1 EN\bin\pdk.dll, , [fe025fa125db9a66a48e0944a15f46ba], 
PUP.PSWTool.ProductKey, C:\Users\DuNm3R_h\Desktop\N??»?µN????°\????N??????°N???N?N?\W81\KMSAuto_Net_1.0.1\KMSAuto Net 1.0.1\KMSAuto Net 1.0.1 RU\bin\pdk.dll, , [837d24dc8080ab55112195b8e818e719], 
PUP.Optional.DownloadSponsor, C:\Users\DuNm3R_h\Downloads\-trojan-encoder.exe, , [6c94a45c639d2dd37739e905768d51af], 
Trojan.Agent.CK, C:\Users\DuNm3R_h\Downloads\torrents\Office_Professional_Plus_2010_x86\Office_2010_Activation_and_Conversion_Kit 1.6_by_Raz0r\O1.6.exe, , [9a669769a55b53ad9ea409448b752fd1], 
RiskWare.Tool.CK, C:\Windows\KMSAct.exe, , [ea16867a5ea238c8171197057a879e62], 
RiskWare.Tool.HCK, G:\Corel VideoStudio Pro X5 15.0.0.258\keygen.exe, , [ab55ba4635cbb0509c52615ff1103ec2], 
RiskWare.Tool.HCK, G:\key\CorelDRAW Graphics Suite X6 16.1.0.843\x32_16.1.0.843_eng\Keymaker-CORE\keygen.exe, , [19e735cbd22e817f188f497a5ba639c7], 
RiskWare.Tool.HCK, G:\key\CorelDRAW Graphics Suite X6 16.1.0.843\x32_16.1.0.843_ru\Keymaker-CORE\keygen.exe, , [748cdb256b95ae52fcab8d365ea339c7], 
RiskWare.Tool.HCK, G:\key\CorelDRAW Graphics Suite X6 16.1.0.843\x64_16.1.0.843_eng\Keymaker-CORE\keygen.exe, , [fe02946c0ff155abb4f332914cb5768a], 
RiskWare.Tool.HCK, G:\key\CorelDRAW Graphics Suite X6 16.1.0.843\x64_16.1.0.843_ru\Keymaker-CORE\keygen.exe, , [39c7eb1542be679900a7744f20e18977], 
Trojan.VirTool, G:\The Elder Scrolls 5.Skyrim.v 1.8.151.0.7 + 4 DLC\steam_api.dll, , [ce323ac621dfa7592c7421d4ad54bd43],

[VladimirVV]

Хорошо.
Как я писал выше, у меня есть уже расшифрованные файлы (упросил вымогателя их расшифровать).
Если они помогут хоть как-то, то могу сбросить зашифрованные и расшифрованные файлы.
И..
Еще что-нибудь требуется?

[thyrex]

Если они помогут хоть как-то, то могу сбросить зашифрованные и расшифрованные файлы

Ничем не помогут

Без оригинального дешифратора файлы не расшифровать

[VladimirVV]

Вообще нет способа?
Даже как-нибудь вручную?

- - - Добавлено - - -

Ребятки, пожалуйста, выручайте.
У меня там куча информации за последние 7 лет.
Вы даже не представляете, насколько это для меня важно.
Скажите, хоть один способ есть хотя бы посмотреть на этот шифр, и его постараться разобрать?

[mike 1]

Вообще нет способа?

Нету.

Полноценной расшировки нет и она невозможна без приватной части ключа, которая есть только у авторов утилиты и в расшифровщиках их авторства.

посмотреть на этот шифр

RSA + дополнительное шифрование XOR большим блоком данных.

[mike 1]

Прикрепите несколько зашифрованных файлов. Файлы из 1 сообщения повреждены похоже. Пока я ничего не могу обещать, но возможно возможность расшифровать вашей версии появится.

[VladimirVV]

Было бы здорово.
Вот ссылка. http://rghost.ru/54006515
На этот сайт загрузить не получилось, но я думаю, что это не принципиально.

[VladimirVV]

А тем временем мне пришло письмо с его почты.