Зашифрованы практически все файлы. Помогите, пожалуйста расшифровать.

**Александр72133** · 02.08.2014, 18:18

Утром, придя на работу включил комп и начал работать в Экселе. Закрываю табличку, а на рабочем столе куча зашифрованных файлов. В папках тоже самое. И везде текстовые документы с названием ВАЖНО такого содержания
Мы зашифровали все ваши файлы, кликните два раза на любой зашифрованный файл для связи с нами, или свяжитесь с нами через оффлайн контакты: email: [email protected]
iron: 51d2237f39947e796b8fb946840e74ea
Все зашифрованные файлы преобрели дополнительное расширение CRY. Теперь ничего не открывается, зашифрованы даже файлы на флешке.
Помогите, пожалуйста, куча важной и нужной информации пропадает, работать не могу.
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.08.2014, 18:19

Уважаемый(ая) Александр72133, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 02.08.2014, 18:23

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft Office Standart\iTorLock.exe','');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\SystemAutorun.exe','');
 BC_ImportAll;
C_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**Александр72133** · 02.08.2014, 19:02

AVZ выдает ошибку Undeclared identifier: C_Activatte в позиции 13:11

- - - Добавлено - - -

Скрипт не выполняется выдает ошибку синтаксиса

- - - Добавлено - - -

Карантин отправил, ка Вы просили

**thyrex** · 03.08.2014, 08:05

Сделайте лог полного сканирования МВАМ

**Александр72133** · 03.08.2014, 10:41

Сделал, как сказали.

**thyrex** · 03.08.2014, 15:15

SavePass удалите через Установку программ

Поместите в карантин МВАМ всё, кроме

Код:

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[6505ba0743386fc754cc605937cd42be]
Trojan.Dropped, C:\Program Files\MagicLogon\hidcon.exe, , [e288922f3e3dd75f10fc8d26dc257e82], 
PUP.Optional.Sambreel.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP241\A0028369.exe, , [72f8ecd5d4a7c175dea4471771905ba5], 
PUP.Optional.Sanbreel.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP241\A0028409.dll, , [5119c3feed8e94a25ada2c6319e87090], 
PUP.Optional.HulaToo.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP241\A0028410.exe, , [caa0f0d1e49771c51fbda3d660a103fd], 
PUP.Optional.HulaToo.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP241\A0028413.exe, , [9ad000c1601b32048e4e067354adcc34], 
PUP.Optional.HulaToo.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP246\A0028442.exe, , [f476dae7de9d979f558763161de455ab], 
PUP.Optional.HulaToo.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP246\A0028444.exe, , [0268348deb901a1cf2eabebb6f9246ba], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031581.exe, , [6bff5b66c3b887af34144b3940c1e818], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031657.exe, , [fb6f5a67146782b40345a2e25ea3718f], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031658.exe, , [6efc972af48751e5b197265e4db4c739], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031659.dll, , [bbafb50ca0db89ad4ff9b8cc43be5ca4], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031660.exe, , [91d9ecd54e2d191d2127f58f00011ae6], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031662.exe, , [3139d3ee8fecd660c0880282ee13956b], 
PUP.Optional.SavePass.A, C:\System Volume Information\_restore{49666C9E-B40F-4298-87F0-EF0BF8B1A851}\RP259\A0031663.exe, , [0a605968dba04aecf4544f35946df010], 
Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [0565447d98e3cd69709cd0e3c0418b75],

Пока помочь с расшифровкой не можем, самого шифратора в логах не оказалось

**CyberHelper** · 03.08.2014, 15:25

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\user\главное меню\программы\автозагрузка\systemautorun.exe - Trojan-Ransom.MSIL.Lortok.a