Зашифрованы все данные на диске D:

**Valart** · 21.08.2014, 10:32

На диске "D:" и на рабочем столе зашифрованы все файлы. К расширению добавлено ".nks".
И раскиданы текстовые документы с содержанием:
"Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нами по email: [email protected]

У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!"

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.08.2014, 10:33

Уважаемый(ая) Valart, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Valart** · 21.08.2014, 11:28

Dr. Web CureIt нашел trojan.encoder.94

**mike 1** · 21.08.2014, 21:18

C:\WINDOWS\TEMP\Zi5M57ow0Gj9T4G.exe

Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы. Когда пришлете напишу скрипт.

**Valart** · 22.08.2014, 10:03

К сожалению, CureIt, похоже, его удалил. Из карантина он не восстанавливается.

**mike 1** · 22.08.2014, 12:36

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\TEMP\Zi5M57ow0Gj9T4G.exe','');
 DeleteFile('C:\WINDOWS\TEMP\Zi5M57ow0Gj9T4G.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');                         
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - HKLM\..\Run: [Alcmeter] C:\WINDOWS\TEMP\Zi5M57ow0Gj9T4G.exe
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Установите Internet Explorer 8 (даже если им не пользуетесь)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**Valart** · 27.08.2014, 11:25

Повторные логи.

- - - - -Добавлено - - - - -

Лог uVS.

**mike 1** · 27.08.2014, 14:44

Пришлите небольшой зашифрованный файл в архиве.

**Valart** · 27.08.2014, 15:42

Зашифрованный файл.

**mike 1** · 27.08.2014, 15:50

Текстовые файлы оставленные шифратором тогда сами удалите вручную.

Обязательно! Пароли от RDP и учетных записей поменяйте на более стойкие.

Информация

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Скачайте te94decrypt.exe и сохраните в корень диска С.

В командной строке введите:

Код:

C:\te94decrypt.exe -k 469

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

**Valart** · 28.08.2014, 11:00

Спасибо, данные расшифрованы.

**mike 1** · 28.08.2014, 12:19

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 28.08.2014, 12:29

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Зашифрованы все данные на диске D: (заявка № 165297)

Опции темы

Зашифрованы все данные на диске D:

Информация

Это понравилось:

Итог лечения

Похожие темы

Файлы на компьютере зашифрованы на диске D:\

файлы на диске D зашифрованы, к файлам добавилось расширение JUST

LockDir: Зашифрованы данные на Диске E

Зашифрованы файлы на диске

Зашифрованы файлы на диске

Метки для этой темы

Ваши права в разделе