Прошу Вас помочь дешифровать около 3000 файлов. Сообщение:
Приобретение декриптора:[email protected]
Ключ хранится до 22.05.2014
Обращения после 22.05.2014 будут игнорироваться.
При обращении укажите в теме письма ваш ID:2082425895
Письма обрабатываются автоматической системой.
Возможны задержки ответов
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) S.Grey, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные папки: 2
C:\Users\Olegin\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Olegin\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\Olegin\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Olegin\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
По поводу расшифровки файлов если есть лицензия на антивирус DrWeb пишите в их техподдержку.
То что нашел Malware это ерунда, которая не поможет в расшифровке.
А доктор веб написал:
Единственный шанс спасти файлы, кроме обращения к злоумышленникам - попытаться вытащить с помощью какой-либо программы восстановления данных файл ключа. Он должен храниться в папке %USERPROFILE%. Файл, скорее всего, имеет случайное имя длиной от 10 до 15 цифровых(!) символов.
Например:
8233622030104 (Был сгенерирован на нашей машине, здесь 12 цифровых символов). В самом начале файла есть строка LockBox, еще одна такая строка, вероятно, будет
ближе к концу файла.
Если файл достать не удастся - мы ничего не сможем сделать, так как это Trojan.Encoder.263 с шифрованием RSA.
- - - Добавлено - - -
вот еще.
Нет. Рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и получат шифроключ.
[Только] полиция имеет возможность по крайней мере попытаться добраться до контролируемых злоумышленниками серверов, на которых хранятся шифроключи.