Зашифрованы все файлы.

[DaurenYar]

Здравствуйте. Все файлы в ноутбуке зашифровались (Windows 7, 32Bit). Есть текстовый файл с сообщением о расшифровке (шантаж). Прошу помочь

[Info_bot]

Уважаемый(ая) DaurenYar, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[DaurenYar]

Здравствуйте! Сделал сканирование. Файлы приложил. Ничего страшного что от другого пользователя зашел в Ноутбук?

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaint.lnk [2015-06-05]
  ShortcutTarget: javaint.lnk -> C:\Users\Users\AppData\Roaming\javasrc\javasrce.exe (No File)
  2015-06-23 16:46 - 2015-06-23 16:46 - 03148854 _____ C:\Users\user\AppData\Roaming\C177CC17C177CC17.bmp
  2015-06-23 16:28 - 2015-06-23 16:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2015-06-23 16:28 - 2015-06-23 16:28 - 00000000 __SHD C:\ProgramData\Windows
  2015-06-18 05:54 - 2015-06-23 08:43 - 00311296 _____ (Babyland Software Corporation) C:\Users\user\AppData\Roaming\c731200
  2015-06-05 11:44 - 2015-06-23 18:39 - 00000000 ____D C:\Users\user\AppData\Roaming\B06D2DCF-5AB9-4278-BC42-AF84F15F2FAE
  2015-06-05 11:44 - 2015-06-05 11:44 - 00000000 ____D C:\Users\user\AppData\Roaming\javasrc
  2015-06-01 13:47 - 2015-06-01 13:47 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
  2015-06-01 13:36 - 2015-06-01 13:36 - 00000000 ____D C:\Users\user\AppData\Roaming\4A5266F7-1433144190-E311-A05F-201A06D13947
  2015-06-01 09:09 - 2015-06-01 09:09 - 00000000 ____D C:\Users\Все пользователи\Tencent
  2015-06-01 09:09 - 2015-06-01 09:09 - 00000000 ____D C:\Users\user\AppData\Roaming\Tencent
  2015-06-01 09:09 - 2015-06-01 09:09 - 00000000 ____D C:\ProgramData\Tencent
  2015-06-01 09:00 - 2015-06-01 09:01 - 00000000 ____D C:\Users\user\AppData\Roaming\4A5266F7-1433127619-E311-A05F-201A06D13947
  2015-06-01 09:00 - 2015-06-01 09:00 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
  2015-06-01 09:00 - 2015-06-01 09:00 - 00000000 ____D C:\Users\user\AppData\Roaming\ASPackage

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[DaurenYar]

Ноут перезагрузился. Лог прикрепил в сообщение

[mike 1]

Логи в порядке. С расшифровкой не поможем.

[DaurenYar]

Можно узнать по какой причине трудности с расшифровкой? Ведь у Вас есть опыт и все инструменты.

[mike 1]

Причина в RSA-шифровании. Конечно если Вы арендуете за свой счет несколько суперкомпьютеров МГУ, то может быть мы сможем за неделю расшифровать несколько файлов.

[DaurenYar]

Спасибо за помощь и ответ. В первый раз сталкиваюсь с такой проблемой. Вижу что это очень серьезно. По логам которые Вы изучили, что можете написать? Есть явные уязвимости? Если есть рекомендации можете подсказать. И в будущем мне самому интересно быть участником вашего форума и сайта, если есть у Вас курсы по безопасности, то очень рад поучаствовать. Заранее благодарю.

[mike 1]

Записывайтесь на обучение попробуем научить.

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме