Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь.

**Антон Нечипоренко** · 19.05.2015, 15:58

Пришло сообщение по электронной почте с темой "резюме" с прикрепленным Word-файлом. Файл сохранил, проверил "Касперским". При проверке данного файла ничего подозрительного "Касперский" не обнаружил. Двойным кликом открыл файл. В открывшемся Wordе появилась иконка PDF-ного файла. Открыл иконку двойным кликом, открылось в Acrobat Readerе резюме. Закрыл. "Касперский" выдал сообщение о трояне PDM:Trojan.Win32.Generic. Вылечил с перезагрузкой. Пошел на обед. После обеда обнаружил, что файлы xlsx, docx, pdf, rar, zip, jpg зашифрованы. Появился текстовый файл практически в каждой папке следующего содержания:
" Унать стоимость декриптора можно, написав письмо на адрес:[email protected]
В ТЕМЕ письма УКАЖИТЕ ВАШ ID:7743612416

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет.
Обращения принимаются до 21.05.2015
После 21.05.2015 любые обращения будут игнорироваться.

Письма обрабатываются автоматической системой."

При отправке ID на указанный адрес пришло сообщение следующего содержания:

"Благодарим вас за обращение.
Данное письмо создано автоматизированной системой.
Стоимость вашего уникального ключа на данный момент составляет - 10 000 р.
Если вы приняли решение об оплате - отправьте свое подтверждение.
В ответ вы получите реквизиты и инструкцию по дальнейшим действиям.
После получения вами реквизитов у вас будет ровно 4 часа для проведения оплаты.
Если за это время от вас не поступили средства - ваши дальнейшие обращения будут игнорироваться.
После подтверждения оплаты вы получите программу-декриптор, которая дешифрует все ваши документы.
FAQ:
Расшифруйте файл для пробы - никакие файлы без оплаты не отправляем.
Где гарантии? - мы честно отправляем декриптор тем, кто его честно оплатил в указанный срок.
Готов заплатить максимум 1000 рублей - робот не умеет торговаться.
Можно оплатить как-то по-другому? - Нет, для оплаты используйте только ту платежную систему, которую вам указали.
Причины по которым ваши обращения будут игнорироваться:
- Оскорбления
- Запрос реквизитов без последующей оплаты
- Угрозы"

Логи прикрепил. Зашифрованный файл прикрепил.
Файл с "заразой" прикреплять или нет?
Кстати, он не хочет архивироваться.
Надеюсь на скорый ответ.
С уважением, Антон.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.05.2015, 15:59

Уважаемый(ая) Антон Нечипоренко, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 19.05.2015, 20:13

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\windows\system32\lasys\uamsrv.exe','');
 QuarantineFile('c:\windows\system32\lasys\uamapp.exe','');
 QuarantineFile('c:\windows\system32\lasys\system.exe','');
 QuarantineFile('c:\windows\system32\lasys\svchost.exe','');
 QuarantineFile('C:\Windows\system32\lasys\wssfcmai.exe','');
 QuarantineFile('C:\Users\Антон Кочетов\adobesystem.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE','');
 QuarantineFile('C:\Users\03E5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\03E5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Users\Антон Кочетов\adobesystem.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Сделайте новые логи по правилам

**Антон Нечипоренко** · 20.05.2015, 11:06

Новые логи отправляю.
Антивирус Касперского обнаружил в word-овском файле (резюме, которое пришло по электронке) троян.
Картинка от Касперского во вложении.
Что дальше делать?

**thyrex** · 20.05.2015, 19:05

Сделайте лог полного сканирования МВАМ

**Антон Нечипоренко** · 21.05.2015, 16:52

Сообщение от thyrex

Сделайте лог полного сканирования МВАМ

ЛОГ полного сканирования МВАМ

**thyrex** · 21.05.2015, 22:39

Удалите в МВАМ только

Код:

Ключи реестра: 13
PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [df66f5a1acdec5713dfbd2bda65d946c], 
PUP.Optional.ToolBar.WA, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [9ea73660e3a7eb4b1721b5da54af3dc3], 
PUP.Optional.ToolBar.WA, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [b19499fde1a9e056fd3b2d629271b24e], 
PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\nsWebAlta.WebAltaSearchBar, , [cc79fa9ce7a3de584fe9e9a6bd466799], 
PUP.Optional.FunMoods.A, HKLM\SOFTWARE\INSTALLCORE\funmoods, , [43021e78bbcf3afc4f69fd22e4215ea2], 
PUP.Optional.VoPackage.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPackage, , [a89d2472345668ce8b97bbb11aeb6c94], 
PUP.Optional.RegCleanerPro.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1000\SOFTWARE\SYSTWEAK\RegClean Pro, , [063f5f371377c1754cc271d314f1837d], 
PUP.Optional.DigitalSites.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\DSiteProducts, , [76cf7620107a51e5347284e19d689a66], 
PUP.FunMoods, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\Funmoods, , [c3824f47c0ca0f279ef16fc1ac5851af], 
PUP.Optional.PassShow.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\APPDATALOW\SOFTWARE\PassShow, , [172e41558ffb85b19a0db73fe1226d93], 
PUP.FunMoods, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE\funmoods, , [ca7b10868307b482b2de74bc828255ab], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE, , [380d2f676f1b78beb6c3de60897cbb45], 
PUP.Optional.RegCleanerPro.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\SYSTWEAK\RegClean Pro, , [df66b0e64347e25425e9162ea26318e8], 

Параметры реестра: 2
PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage\uninstall.exe", , [cc79afe7a5e5082e3842a75eaf5520e0]
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\INSTALLCORE|tb, 1P1O1N1R1G1M1J, , [380d2f676f1b78beb6c3de60897cbb45]

Данные реестра: 2
Hijack.StartPage, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/search, Хорошо: (http://www.google.com/), Плохо: (http://webalta.ru/search),,[8db86a2c91f92c0a63a6d6497f87a858]
Hijack.SearchPage, HKU\S-1-5-21-1131328099-337311330-2945725469-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/search, Хорошо: (http://www.Google.com/), Плохо: (http://webalta.ru/search),,[b98c405627632610dae161bc9d69926e]

Папки: 8
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc, , [6dd8dcba3852bf7709cb566745be837d], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc, , [172e088ec6c4f24418be6b5251b21fe1], 
PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage, , [24217422cebc51e59f53f1de56ad2ed2], 
PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, , [fc49e2b4e0aacf676c8718b760a38e72], 
PUP.Optional.ToolBar.WA, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar, , [e263ebab51394cea222f6a66e122639d], 

Файлы: 42
Trojan.Agent, C:\Users\????N????? ????N??µN?????\Thumbsdb.bat, , [63e270267f0bbb7ba8def9fb847fe719], 
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\config.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\gup_dt.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\info.dat, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\MESSAGE.txt, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\STTL.DAT, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.FunMoods.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Funmoods\UpdateProc\TTL.DAT, , [b68fdbbbe0aaa29469f530facc38c13f], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\MESSAGE.txt, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\ExcludeList.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\log_05-30-2014.log, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\MESSAGE.txt, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\results.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\russian_rcp_ru.dat, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.RegCleanerPro.A, C:\Users\USER\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\TempHLList.rcp, , [370ea9eda3e794a2764f7e2948bbc040], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\config.dat, , [6dd8dcba3852bf7709cb566745be837d], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\info.dat, , [6dd8dcba3852bf7709cb566745be837d], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\MESSAGE.txt, , [6dd8dcba3852bf7709cb566745be837d], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\STTL.DAT, , [6dd8dcba3852bf7709cb566745be837d], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DigitalSites\UpdateProc\TTL.DAT, , [6dd8dcba3852bf7709cb566745be837d], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\info.dat, , [172e088ec6c4f24418be6b5251b21fe1], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\MESSAGE.txt, , [172e088ec6c4f24418be6b5251b21fe1], 
PUP.Optional.Updater.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\DSite\UpdateProc\prod.dat, , [172e088ec6c4f24418be6b5251b21fe1], 
PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\VOPackage\MESSAGE.txt, , [24217422cebc51e59f53f1de56ad2ed2], 
PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk, , [fc49e2b4e0aacf676c8718b760a38e72], 
PUP.Optional.VOPackage.A, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\MESSAGE.txt, , [fc49e2b4e0aacf676c8718b760a38e72], 
PUP.Optional.ToolBar.WA, C:\Users\????N????? ????N??µN?????\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\MESSAGE.txt, , [e263ebab51394cea222f6a66e122639d],

**CyberHelper** · 21.05.2015, 22:49

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь. (заявка № 183952)

Опции темы

Зашифрованы файлы для работы (xlsx, docx, pdf, rar, zip, jpg). Прошу помочь.

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Прошу помочь! шифровальщик зашифровал все файлы doc docx xlsx xls.

Зашифрованы файлы docx и xlsx - [email protected]_iYmsf9

Зашифрованы файлы Doc, docx, xls, xlsx

Зашифрованы файлы формата docx, jpeg,xlsx. Разрешение не изменено.

Зашифрованы файлы doc, docx, rar, xls, xlsx, 1Cv8.1CD Расширение у файлов теперь ".$"

Ваши права в разделе