Помогите расшифровать файлы с расширением &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;

[Игорь Шарков]

Добрый день!
Пожалуйста, нужна Ваша помощь по расшифровке файлов с расширением "green".
Я уже понял, что это вирус, который "приходит" с помощью писем от ИФНС, ФССП и т.д.

Заблокированы все рабочие файлы за 8 лет работы. Как их расшифровать???
Прилагаю файлы сканирования системы, которые необходимы Вам по инструкции.


Заранее благодарен.

[Info_bot]

Уважаемый(ая) Игорь Шарков, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\PROGRA~3\Mozilla\tnxavol.exe','');
 QuarantineFile('C:\Users\FoxLine\6usfd763xmz6tr1\klwqcfr.vbs','');
 QuarantineFile('C:\Users\FoxLine\6USFD7~1\klwqcfr.vbs','');
 QuarantineFile('c:\users\foxline\6usfd763xmz6tr1\lahore.exe','');
 DeleteFile('C:\Users\FoxLine\6USFD7~1\klwqcfr.vbs','32');
 DeleteFile('C:\Users\FoxLine\6usfd763xmz6tr1\klwqcfr.vbs','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','C:\Users\FoxLine\6USFD7~1');
 DeleteFile('C:\PROGRA~3\Mozilla\tnxavol.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\dgdqoje','64');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Игорь Шарков]

Добрый день!
Проделал все четко по Вашей инструкции, высылаю Вам все необходимые файлы.
Карантин также загрузил.

Жду обратной связи.

- - - - -Добавлено - - - - -

Вы сможете чем-то помочь?

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-4160751065-1535482499-368164804-1000\...\Run: [Windows Update] => C:\Users\FoxLine\AppData\Roaming\WindowsUpdate.exe [32768 2010-11-21] (Microsoft Corporation)
  HKU\S-1-5-21-4160751065-1535482499-368164804-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net/?im
  BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} ->  No File
  FF NetworkProxy: "autoconfig_url", "https://epost-2.com/tables/posts/setups.ruh"
  FF NetworkProxy: "type", 2
  2015-06-29 09:42 - 2015-06-29 09:42 - 00000000 ____D C:\Program Files (x86)\ЗАО РОСТЕЛЕКОМ
  2015-08-27 10:00 - 2015-02-03 16:12 - 00000000 _RSHD C:\Users\FoxLine\6usfd763xmz6tr1
  Task: {7AEBAFC6-7B95-4DFA-B05D-40E9F36420C8} - \dgdqoje -> No File <==== ATTENTION
  C:\Users\FoxLine\AppData\Roaming\WindowsUpdate.exe
  Folder: C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Игорь Шарков]

Доброго дня!
Высылаю Вам файл, который необходим.

Жду обратной связи. Скажите, есть ли смысл связываться с мошенниками, просто сегодня последний день, когда им можно отправить деньги, согласно их письма.
Большая просьба, если есть возможность, просьба оперативно ответить.

Заранее благодарен.

[mike 1]

Вижу что второй раз ловите шифровальщика и никаких выводов не сделали с прошлого шифрования.

2015-06-29 09:43 - 2015-06-29 09:43 - 0003764 _____ () C:\FRST\Quarantine\C\Program Files (x86)\ЗАО РОСТЕЛЕКОМ\Cлужба судебных приставов (ФССП)\ufr_reports\report_29-06-2015_09-42-59-338F1023FCA09412AC480244B1641918-JDOM.bin

Это от прошлого раза осталось. Меняйте все пароли они уже злодеев.

С расшифровкой не поможем.

[Игорь Шарков]

Я знаю, что как раз 29.06.2015 г. было открыто это письмо и все, больше случаев не было.
Скажите, какие пароли нужно менять? С расшифровкой не поможете даже платно?
Какой выход? С мошенниками связываться есть смысл?

[mike 1]

Скажите, какие пароли нужно менять?

Все. Аська, почта, скайп и т.д.

С расшифровкой не поможете даже платно?

Даже платно не поможем.

Какой выход?

Восстанавливайте информацию из резервных копий, хотя люди обычно их не делают до того момента, пока они что либо не потеряют.

С мошенниками связываться есть смысл?

Это уже решайте сами, но обычно после оплаты высылают все необходимое для расшифровки файлов.

[Игорь Шарков]

Благодарю Вас!!! Пароли поменяем.
А есть смысл установить пароль для входа в компьютер?

[mike 1]

Пароли на учетные записи думаю можно не менять. Обычно воруют пароли от почты, скайпа и т.д., чтобы потом продать эту информацию где нибудь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\foxline\6usfd7~1\klwqcfr.vbs - Trojan.VBS.Runner.el
  2. c:\users\foxline\6usfd763xmz6tr1\klwqcfr.vbs - Trojan.VBS.Runner.el