Помогите расшифовать файлы с дополнительным расширением keybtc@gmail_com
Пришло письмо от "наших коллег" со счетом упакованным в архив *.rar.
Файл был открыт, высветилось несколько окон с сообщением об ошибке в которых говорилось, что данная программа не поддерживается данной операционной системой, на них не обратили внимания и просто закрыли. Через сутки на компьютере все файлы *.doc *.xls *.pdf *.jpg были зашифрованы и к ним было добавлено новое дополнительное расширение keybtc@gmail_com. Появились так же письма на рабочем столе в текстовом формате, содержащие данное расширение в наименовании.
На тот момент на компьютере было установлено Win 7 (64) и Microsoft Security Essential. Указанный антивирус при проверке ничего не обнаружил.
Компьютер проверенDr.Web CureIt!, который удалил трояна JS.Downloader. Файлы остались зашифрованы. После этого компьютер был обработан Kaspersky Virus Removal Tool. Ничего найдено не было.
Далее была установлена пробная версия McAfee. потом Eset NOD32 Антивирус, проверен компьютер, тоже ничего не найдено, файлы зашифрованы.
Прошу помочь с расшифровкой файлов, если это возможно.
Прилагаю файлы обработки компа AVZ и HijackThis.
Могу дополнительно выслать архив - virusinfo_autoquarantine.zip, образец файла до и после шифровки вирусом, созданные вирусом текстовые и приват файлы, начальный архив с самим вирусом (правда после проверки всеми вышеперечисленными программами), и другую нужную Вам информацию.
[удалено], Алексей
Последний раз редактировалось thyrex; 14.08.2014 в 11:51.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) intex-nn, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64.sys','');
DeleteService('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64');
DeleteFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smally','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
1. удалил smally, а так же gompleyr и googletoolbar т.к. они были установлены без моего желания
2. скрипт выполнил, компьютер перезагрузился
3. все программы закрыл, антивирусы microsoft SE и NOD32 отключены
4. новые логи сделал
5. папка Quarantine в AVZ - пуста
6. при попытке загрузить файл virusinfo_autoquarantine.zip через правила Приложения 2 получаю ответ на эране:
С расшифровкой бессильны вирлабы. Правда в вирлабе DrWeb есть один успешный случай расшифровки именно Вашего варианта шифровальщика. Если есть действующая годичная лицензия на любой их продукт, можете обратиться на их форум
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect