paycrypt@gmail_com. Прошу помощи в восстановлении зашифрованных данных
Утром просматривал почту. Практически все доверенные адресаты. Очередное вложение файл Word открылся с "иероглифами". Через пару секунд в систрее проявилось сообщение от Нод32 об удалении зараженного объекта. Заподозрил неладное - перезагрузил ПК. После перезагрузки обнаружил что файлы на рабочем столе переименованы - добавлено расширение paycrypt@gmail_com. Естественно ничего не открывается. В каталогах с большим количеством файлов вирус навредить не успел. В карантине удаленный объект числится как:
имя объекта: C:\Users\***\AppData\Roaming\gnupg\pubring.tmp
причина: BAT/Filecoder. B троянская программа
Выполнил все по инструкции. Файлы прикрепил. Надеюсь на помощь.
PS некоторые файлы есть в двух вариантах как уже зашифрованные, так и до шифрования (из почты). могу их прислать, если это поможет
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) jusper, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\melnikov\AppData\Local\Temp\svchost.exe','');
DeleteFile('C:\Users\melnikov\AppData\Local\Temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Файл карантина прикрепил. Новые логи добавил. Добавлю еще скриншот карантина Nod32 на текущий момент (появилось, когда запустил avz с включенным nod32)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: