Здравствуйте! Помогите пожалуйста 22.06.2016 пришло письмо я скачал архив "акт сверки .zip" от [email protected] (письмо сохранил если необходим переправлю или прикреплю), как скачал проверил антивирусом Nod, он ничего не увидел я распаковал архив и попытался открыть файл открылось программой wordpad открылось с ошибкой в шрифтах на английском было несколько слов похожие что необходима более старшая версия 2013 года.
Затем попробовал открыть microsoft word 2007 шрифт не смог подобрать после попытки открытия компьютер сильно завис пришлось перезагрузить. После перезагрузки заметил что на рабочем столе вордовские файлы начали меняться расширения, я начал искать причину и открыл настройки системы и нашел 2 лишние авто загрузочные файлы: 1) a.js argument путь указан в Local Settings - Temp и убрал с автозагрузки. 2) dumprep 0 -k в папке system32 в папке windows его тоже отключил.
Затем в процессах убрал процесс *.js не помню названия. также появились файлы на корневых папках локальных дисков "!!!README!!!JjowB.rtf" (файлы сохранил,если необходимо отправлю) со следующим текстом:
***ВНИМАНИЕ!***
Ваши файлы были зашифрованы вирусом RAA.
При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
Это значит, что восстановить данные можно только купив ключ у нас.
Покупка ключа - простейшее дело. Все, что вам надо: 1. Скинуть ваш ID 6EA67800-691B-4FD8-9AC5-572E003D7AD8 на почтовый адрес [email protected]. 2. Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ. 3. Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес 15izVPLZ9kxJXZKHe77fK73uDrehyJxWdt.
О том, как купить Bitcoin за рубли с любой карты - https://www.bestchange.ru/visa-maste...o-bitcoin.html 4. Получить ключ и программу для расшифровки файлов. 5. Предпринять меры по предотвращению подобных ситуаций в дальнейшем.
Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.
Важно (2).
Если по указанному адресу ([email protected]) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе - https://bitmessage.org/wiki/Main_Page
Важно (3).
Мы НЕ МОЖЕМ хранить ваши ключи вечно. Все ключи, за которые не было выплачено вознаграждение, удаляются в течение недели с момента заражения.
README файлы расположены в корне каждого диска.
ВАШ ID - 6EA67800-691B-4FD8-9AC5-572E003D7AD8
и файл "!!!README!!!hQ6rB.rtf" со следующим текстом:
***ВНИМАНИЕ!***
Ваши файлы были зашифрованы вирусом RAA.
При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
Это значит, что восстановить данные можно только купив ключ у нас.
Покупка ключа - простейшее дело. Все, что вам надо: 1. Скинуть ваш ID 6EA67800-691B-4FD8-8501-A72D3760AB18DOUBLE на почтовый адрес [email protected]. 2. Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ. 3. Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес 17cpD7m7FrRWaQb1Qt4rcNMvwLsNt31Hos.
О том, как купить Bitcoin за рубли с любой карты - https://www.bestchange.ru/visa-maste...o-bitcoin.html 4. Получить ключ и программу для расшифровки файлов. 5. Предпринять меры по предотвращению подобных ситуаций в дальнейшем.
Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.
Важно (2).
Если по указанному адресу ([email protected]) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе - https://bitmessage.org/wiki/Main_Page
Важно (3).
Мы НЕ МОЖЕМ хранить ваши ключи вечно. Все ключи, за которые не было выплачено вознаграждение, удаляются в течение недели с момента заражения.
README файлы расположены в корне каждого диска.
ВАШ ID - 6EA67800-691B-4FD8-8501-A72D3760AB18DOUBLE
После этого перешел в безопасный режим и проверил drweb cureit он ничего не нашел.
Перейдя в обычный режим увидел что вирус успел зашифровать папку мои документы все файлы кроме TXT файлов. зашифровал файлы с расширением *.doc, *.pdf, *.dwg, *.jpg, *.rtf, *.xls, *.rar, *.xlsx, *.docx.
После этого нашел ваш форум и сделал все по инструкции и прикрепляю их.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aikidoke, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пришедшее вложение из письма пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('innfd_1_10_0_14');
DeleteService('4F969F00C65BE438');
DeleteService('fivyzipo');
DeleteService('piveheki');
DeleteService('sivuguwu');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\nst68.tmpfs','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\jnsn7D.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\hnsd7F.tmp','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\hnsd7F.tmp','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\jnsn7D.tmp','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\7121CE40-1433131154-11D5-A189-5404A6C37C0B\nst68.tmpfs','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\41F09DDD6.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_14.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: