Шифровщик win.rar под паролем [Trojan-Ransom.Win32.Mor.bn
]
Здравствуйте, помогите, пожалуйста! Пришел файл по почте от "истца" (есть сохраненная версия вируса). на следующий день заметил появление запароленых архивов и файлов "!!!восстановлениеИмя_пользователя" без расширения, при открытии в блокноте представляется следующий текст:
-----BEGIN PGP MESSAGE-----
Version: 2.6.3i
hIwDwhS6S7R6WskBBAC/WuHQ2eiNOakldyRJ5Qhju5qOPQEbTG7zzdFgpMwmkY9W
vYPUmMeyuwElcezlo9PFC2LHRpGEFZShyFiLBHWNa7UXSFqmpf h7C6GoJSWP2Jbw
hAg70qsqAK+nmLLNsfNwpQckaQYTR29hkhMhGF/1XVYaZdAOyqs/3SovRxo466YA
AABPq/NdTjfBvFQm6Wc46kEIVMJr1gcmdW4NdiUekOqXg1G5RJIXMClU utMTe8wg
tTJJmGmCAw6A8RssRmjzZV/UBJBZ0TmZ4NylaE7rOjWE7w==
=7ahz
-----END PGP MESSAGE-----
Файлы заархивированы и на архивы установлен пароль. Стоимость пароля - десять тысяч рублей.
Отправьте один заархивированный файл небольшого размера и файл который сейчас читаете.
В течение 1-24 часов в ответном письме придет оригинальный файл (доказательство, что у нас есть пароль)
и инструкция оплаты. После оплаты придет пароль на архивы и программа (по желанию), которая разаархивирует
все данные. qopperry @ gmail . com
______
а в архиве папка Users/Имя_пользователя/Desktop и мой файл с еще одним созданным "fake.777" размером 0 байт
Судя по всему архивы созданы только на рабочем столе, а вот в других разделах висят только файлы "!!!восстановлениеИмя_пользователя" и "fake.777", запароленых архивов при этом нет.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Фёдр Молчанов, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
могу выслать сам вирус и то, что он натворил, может это хоть как-нибудь поможет расшифровать, что-то в сети пишут, что это не реально... Если эта услуга у Вас платная - я готов обсудить. Сейчас мне необходимо отойти мой viber, whatsapp для скорейшего решения вопроса (
Последний раз редактировалось mike 1; 04.11.2015 в 01:24.
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Вот. прикладываю, оба скан лог и лог после очистки. А есть возможность вскрыть пароли от архивов. Ведь сам вирус есть, нельзя понять что он прописывает в пассе?
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Encoder.2877
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
и сохраните на Рабочем столе.
