Добрый день. После очередной загрузки операционной системы был выявлен факт шифрования личный файлов, расположенных на компьютере. При этом данной процедуре были подвергнуто подавляющее большинство файлов форматов семейства Office, pdf и изображений. Формат названных файлов был изменен и все зашифрованные файлы представлены в следующем виде "<наименование файла>.<формат файла>.zcrypt". При запуске системы автоматически открывается вкладка в браузере Internet Explorer с информационной надписью следующего содержания: "ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на [email protected] один из зашифрованных файлов. Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! В письме укажите также ваш ID - 30322E30332E32303136|01|V1" Помимо шифрования, во всех папках появились файлы с названием "!ИНСТРУКЦИЯ!"с разрешением html. Помимо изложенного так же были добавлены файлы для записи на cd приводе(desktop.ini и "!ИНСТРУКЦИЯ!").
В почте сохранился файл, который может являться возможным источником инфицирования.
При проверке системы утилитой Kaspersky Virus Removal Toolкакие либо вирусные программы обнаружены не были. Прошу помочь в дешифровке личных данных. Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) smex, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
В день, предшествующий зашифровке данных был только 1 подозрительный файл. Его загрузил через форму. Так же Сегодня, Kaspersky ругается еще на на 1 файл. Он не запускался и как появился не понятно. Заархивировать его не получается выдает ошибку
Подозрительных файлов в системе карантинов от вас я не вижу.
Наименование файла инф ООО КРОК.zip. В нем содержится архив с аналогичным наименованием но с расширением .rar . Указанный архив не получается разархивировать. New Bitmap Image.jpg Выдается такая вот ошибка
Само наименование файла с виросом инф ООО КРОК.docx.exe Попытался повторно загрузить в карантин, но выдается сообщение, что указанный файл уже загружен. На данный файл Kaspersky ругается
- - - - -Добавлено - - - - -
Отключил защитник виндоус и получилось разархивировать архив. Загрузил его в карантин
Файл сохранён как 160308_130956_инф ООО КРОК.docx_56dea4f4bc606.zip
Размер файла 16533
MD5 76f75fa72533221da7558a446154f9e6
Еще 1 файл, на который ругается Kaspersky
Файл сохранён как 160308_132229_Mntz_Installer_56dea7e5604be.zip
Размер файла 91936
MD5 442f5e9f2a1fd286997b8961731f35ee
Последний раз редактировалось smex; 08.03.2016 в 13:23.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: