На компьютере "поработал" вирус-шифровальщик (Eset Nod32 определил его как MSIL/Filecoder.AO) файл назывался "encrypter.exe"
Вирус зашифровал файлы (фото,видео,архивы) и добавил к названию файла расширение .fc0a173e
Владельцем ноутбука была сделана ошибка - переустановлена ОС Windows
Фото и видео были на отдельном диске (не системном), CureIt и AVPTool среди этих файлов ничего не нашёл.
Логи от AVZ и HiJackThis прилагаю, но имейте ввиду что Windows уже была переустановлена после заражения.
При необходимости готов прислать один/несколько из зашифрованных файлов.
Просьба помочь восстановить фотографии (остальное не критично).
В каждой папке где есть зашифрованные файлы появился файл "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt"
со следующим содержимым (воду опустил, если нужно вышлю полный текст файла):
--------------------------------------------------------------
Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/...d-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fc0a173e&HashID=c5112ca051177d968fcde9f3e3b87b b9' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
ID: fc0a173e
HashID: c5112ca051177d968fcde9f3e3b87bb9
--------------------------------------------------------------
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Alexandr-2016, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
2) Шифрованный файл тоже приложил (шифрованное-фото.jpg.zip - без архива не хотел добавляться во вложения).
Выбрал файл маленького размера из зашифрованных, чтобы вместился в квоту размера вложений инцидента.
1. Сохраните дешифратор в отдельную созданную папку.
2. Сохраните http://rghost.ru/8mtNT87sz вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
ОГРОМНЕЙШЕЕ Вам Спасибо, ребята !!!
Всё супер, фотографии расшифровались, открываются.
Все остальные зашифрованные файлы тоже стали доступны.
Вы просто волшебники !!!