Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
393F092A1435240B0E00|1|1|5
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Зашифровались файлы практически на моих глазах, комп был офнут от питания и запущен из под безопасного режима, вероятнее всего троян на компе.
Примечательно первые файлы были зашифрованы в 9.50, никаких левых файлов не запускал уже дня 3 поэтому осмелюсь предположить что я попал в ботнет сеть.
Хотелось бы получить советы как можно найти трой.
Для интереса отписал на почту расшифровать файлы возможно.
Стоимость дешифровки 5000р. Для доказательство можем расшифровать 1 файл если вы вышлите его по почте.
Есть их киви кошелек, стоит написать заявление?
Последний раз редактировалось Helpop; 13.01.2015 в 14:31.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Helpop, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\7\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\7\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O4 - HKCU\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"
Обновите базы AVZ!
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Файлы карантина слишком много весят, сайт не дает их загрузить поэтому они на яндекс диске.
- - - - -Добавлено - - - - -
Код на с++ который шифрует по ходу дела(файл OCL7632T5.txt). Тут несколько алгоритмов.
Имел родное расширение .cl
Нашел его когда запускал комп из под безопасного, после ребута уже не было на старом месте.
Последний раз редактировалось mike 1; 14.01.2015 в 01:46.