Зашифровались файлы Win Server 2008 [not-a-virus:Monitor.Win32.KGBSpy.ap
]
Добрый день.
У нас возникла проблема с вирусом шифровальщиком. Зашифровал оч важные файлы и базы данных 1с. В каждой папке создан текстовый документ названия "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt". С следующим содержанием:
____________________________________________
СПЕШИМ ВАС ПОРАДОВАТЬ !!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, ТАК УЖ ВЫШЛО.
ПОПЫТОК ВВОДА ПАРОЛЯ - 5. НЕ УСЛОЖНЯЙТЕ
СВОЕ И БЕЗ ТОГО НЕПРОСТОЕ ПОЛОЖЕНИЕ.
СРАЗУ ЖЕ ПИШИТЕ СЮДА:
Что нам нужно сделать для расшифровки данных файлов?
Готовы что нужно оплатить. Пытались подключить "Помогите+" но через PayPal не доходит платеж. Может можно будет оплатить например счет через QIWI или просто перевод на QIWI?
Последний раз редактировалось Fronidze; 05.02.2015 в 15:59.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Fronidze, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('C:\Program Files\zip\MPK64.exe');
TerminateProcessByName('C:\Program Files\zip\MPK.exe');
QuarantineFile('C:\Program Files (x86)\CoinMiner\coinminer.exe','');
QuarantineFile('C:\Program Files\zip\MPK.dll','');
QuarantineFile('C:\Program Files\zip\MPK64.exe','');
QuarantineFile('C:\Program Files\zip\MPK.exe','');
DeleteFile('C:\Program Files\zip\MPK.exe','32');
DeleteFile('C:\Program Files\zip\MPK64.exe','32');
DeleteFile('C:\Program Files\zip\MPK.dll','32');
DeleteFile('C:\Program Files (x86)\CoinMiner\coinminer.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Mpk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Coin Miner');
DeleteFileMask('C:\Program Files (x86)\CoinMiner', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\CoinMiner');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
В следующем вашем ответе мне требуются следующие отчеты:
Хорошо. Компьютер мы вам почистили. Файл расшифрован (http://rghost.ru/7GjbZKwDD) в первом сообщении, который вы выложили. Расшифровка файлов у нас с 1 ноября 2014 идет отдельной услугой. Если у вас есть проблемы с оплатой, то вы можете произвести оплату с помощью этих http://virusinfo.info/content.php?r=...fo.info-donate реквизитов. После оплаты отпишитесь в теме и я скажу что вам дальше нужно будет сделать.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: