Шифровальщик файлов от [email protected]

**Voroncov** · 05.09.2014, 16:48

Здравствуйте!
В файловый обменник нашей компании пробрался вирус и зашифровал все файлы .doc, xls, jpg, и даже .txt
Все файлы переименовал в *.id-{OZIQCLTCLTBJSBKSAJRZIQYHQYGPXFOWFNWE-05.09.2014 0@22@349771912}[email protected]
Установленный Симантик антивирус все пропустил.
Сканирование доктрор вебом тоже ничего не дало, он ничего не нашел.
Дешифраторы на сайте касперского xoristdecryptor и rectordecryptor так же пользы не принесли. Первый вообще ничего не нашел, второй сказал что файлы есть, но расшифровать не смог.
Логи AVZ и HijackThis прилагаю.
Буду очень благодарен за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.09.2014, 16:49

Уважаемый(ая) Voroncov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Voroncov** · 05.09.2014, 17:13

Обязательно поддержу, если поможете.

**mike 1** · 05.09.2014, 19:25

Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#1)

Логи сделайте не через терминальную сессию.

+ Сделайте такой лог

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**Voroncov** · 06.09.2014, 12:00

К сожалению сейчас могу только через терминальную сессию.
Выкладываю, вдруг поможет.
Локально сделаю могу сделать чуть позже.

**Voroncov** · 08.09.2014, 12:13

Здравствуйте!
К сожалению удалось добраться до сервера только сейчас.
Вот создал требуемый лог, локально, не через терминальную сессию.
Все еще очень надеюсь на помощь.

**mike 1** · 08.09.2014, 16:40

Прикрепите в архиве несколько небольших зашифрованных файлов.

**Voroncov** · 08.09.2014, 17:22

Пожалуйста.

**mike 1** · 08.09.2014, 17:51

4 из 4 файлов расшифровались. Пришлите еще несколько файлов с расширением .doc

**Voroncov** · 08.09.2014, 21:39

Неужели надежда еще теплится?

Вот еще несколько файлов.
Скажите, а можно ли как-то удалить ранее загруженные файл в менеджере файлов? А то у меня квота в 976.6к почти исчерпана.

**mike 1** · 08.09.2014, 21:57

Скажите, а можно ли как-то удалить ранее загруженные файл в менеджере файлов?

Мой кабинет => Вложения.

Информация

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Скачайте te567decrypt.exe и сохраните в корень диска С.

В командной строке введите:

Код:

C:\te567decrypt.exe -brute

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

**Voroncov** · 09.09.2014, 17:49

Спасибо!
Утилита помогает, файлы расшифровывает, однако почему-то не может расшифровать весь файловый обменник целиком. Т.е. я указываю ему папку с шифрованными файлами, он проходит по 2м папкам, успешно их расшифровывает, и все, все последующие папки остаются не тронутыми(не расшифрованными).
Т.к. у меня больше 15000 шифрованных файлов в папках и подпапках, есть 2 вопроса:
1) Можно ли как-то автоматически удалять расшифрованные файлы?
2) Можно ли как-то расшифровать все 1 махом, а не по 2 папки?
Только не говорите что я свинья не благодарная, и не довольствуюсь тем что есть)))

В любом случае огромное спасибо от меня лично и от лица всей нашей компании!!!
Побежал поддерживать ваш проект

**mike 1** · 09.09.2014, 17:57

1) Можно ли как-то автоматически удалять расшифрованные файлы?

Нет.

Можно ли как-то расшифровать все 1 махом, а не по 2 папки?

Можно попробовать задать целый диск для расшифровки. Например:

Код:

C:\te567decrypt.exe -brute -path D:\

Так утилита обработает все папки на диске D. А вообще странно, что утилита с параметрами из 11 сообщения не обрабатывает все жесткие диски.

Шифровальщик файлов от [email protected] (заявка № 166081)

Опции темы

Шифровальщик файлов от [email protected]

Информация

Похожие темы

Хелп. Шифровальщик [email protected]

Шифровальщик файлов [email protected]

Шифровальщик [email protected]

Вирус шифровальщик [email protected], [email protected]

Помогите шифровальщик от [email protected]

Метки для этой темы

Ваши права в разделе