Здравствуйте!
Заметили, что в сетевом хранилище началось шифрование файлов (вместо оригинальных файлов появились зашифрованные с расширением .crypt ), выяснили откуда запущен вирус. На том компьютере запустили cureit, который нашел несколько вирусов:
c:\users\володкина\appdata\local\temp\rar$dia0.212 \резюме.scr - infected with Trojan.Encoder.697
d:\инструкции\резюме.scr - infected with Trojan.Encoder.697
c:\users\володкина\appdata\local\temp\rar$dia0.348 \резюме.scr - infected with Trojan.Encoder.697
c:\users\володкина\appdata\local\temp\rar$dia0.889 \резюме.scr - infected with Trojan.Encoder.697
c:\users\володкина\appdata\local\temp\rar$dia0.142 \резюме.scr - infected with Trojan.Encoder.697
C:\Program Files\Comp\New\rgnsrgdfhszdfhsi.vbs - infected with VBS.Hosts.44
C:\Users\Володкина\AppData\Local\Mozilla\Firefox\P rofiles\8tlp60cb.default\Cache\D\CC\2007Dd01 - infected with JS.IFrame.579
C:\Users\Володкина\AppData\Local\Temp\csrss.bat - infected with BAT.Encoder.18
C:\Windows\System32\hale.exe - infected with BAT.Starter.91
CureIt! эти файлы поместил в карантин.
Каких-либо файлов с требованиями выкупа не нашел. Есть версии файлов из архива до и после шифровки.
Зашифрованы файлы с расширениями doc, xls, docx, pdf, txt, rtf, zip, jpg и др., не тронуты *.odt, db, exe, dll
Прошу помощи в расшифровке файлов.
При сборе информации в АВЗ отключаться от интернета не было возможности, управляю удаленно.
Во временной папке пользователя обнаружил файлик uncrypt.t текстовый, следующего содержания:
Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA-1024.
Восстановить файлы можно только при помощи программы обратной дешифрации, которая есть только у нас. Чтобы её получить, Вам необходимо
написать нам письмо на адрес:
При попытке расшифровки без нашей программы файлы могут повредиться!
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
При поступлении угроз в наш адрес, Ваши данные не будут расшифрованы.
Обращаем внимание, что файлы можно расшифровать только с использованием специалного программного обеспечения, которое есть только у нас.
Последний раз редактировалось Matador; 16.07.2014 в 08:32.
Причина: новые данные
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Matador, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
В avz скрипты выполнил, карантин отправил, но этот файл-svchost.exe-уже был вылечен cureit!, а зараженный файл cureit! добавил в свой карантин [удалено] - Это ссылка на логи cureit! и его же карантин (пароль: virus).
Я могу выложить дешифратор от злоумышленников, но за последствия его работы ответственности не несу. Вы, кстати, единственный пока у кого возникают проблемы с дешифровкой.
Выкладывать?
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Данный дешифратор, полученный от злоумышленников с почтой для связи [email protected], предназначен только для пользователя Matador.
За возможную неудачную расшифровку некоторых файлов ответственность целиком ложится на лицо, использующее дешифратор, т.к. оригиналов зашифрованных файлов на компьютере не остается. Поэтому рекомендуется позаботиться о создании резервной копии зашифрованной информации.
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
1. Перетащите любой из зашифрованных файлов с расширением .gpg или .crypt на значок программы.
2. Процесс дешифровки может оказаться длительным, поскольку программа проверяет все доступные диски.
3. Признаком работы программы служит наличие в Диспетчере задач Windows процессов decrypt.exe и cmd.exe. Как только эти процессы исчезли из памяти - дешифроввка окончена.,
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: