Ваши файлы были зашифрованы вирусом RAA

**Dolka** · 03.08.2016, 12:15

На рабочий компьютер попал вирус шифровальщик при открытии подозрительного письма 3 лицами. В итоге на компьютере зашифровались все файлы. В корне лежит вордовский файл со следующим содержанием:
***ВНИМАНИЕ!***
Ваши файлы были зашифрованы вирусом RAA.
При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
Это значит, что восстановить данные можно только купив ключ у нас.
Покупка ключа - простейшее дело.
Все, что вам надо:
1. Скинуть ваш ID 4FDF7188-A525-49A9-B5CF-1B6635FAF681 на почтовый адрес [email protected].
2. Тестово расшифровать несколько файлов для того, чтоб убедиться, что у нас действительно есть ключ.
3. Оплатить покупку Вашего ключа путем перевода на Bitcoin-адрес 1AGw4pHJBQ5Umwcu76yRstwMouWfoDexrv.
О том, как купить Bitcoin за рубли с любой карты - https://www.bestchange.ru/visa-maste...o-bitcoin.html
4. Получить ключ и программу для расшифровки файлов.
5. Предпринять меры по предотвращению подобных ситуаций в дальнейшем.

Важно (1).
Не пытайтесь подобрать ключ, это бесполезно, и может уничтожить ваши данные окончательно.

Важно (2).
Если по указанному адресу ([email protected]) вами не был получен ответ в течение 3х часов, вы можете воспользоваться для связи сервисом Bitmessage
(наш адрес - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
Детальнее о программе - https://bitmessage.org/wiki/Main_Page

Важно (3).
Мы НЕ МОЖЕМ хранить ваши ключи вечно. Все ключи, за которые не было выплачено вознаграждение, удаляются в течение недели с момента заражения.

README файлы расположены в корне каждого диска.

ВАШ ID - 4FDF7188-A525-49A9-B5CF-1B6635FAF681

http://dropmefiles.com/GYmct - ссылка на 3 зашифрованных файла

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.08.2016, 12:16

Уважаемый(ая) Dolka, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 03.08.2016, 15:49

Деинсталлируйте SpyHunter 4.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKU\S-1-5-21-558878931-1507856154-1037828974-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
OPR Extension: (disco games) - C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\didlppefmhmoiaeemeffjchbieeghlan [2015-04-14]
OPR Extension: (Quick Searcher) - C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-02-08]
OPR Extension: (disco games) - C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\hhjchhljdoccgihhmkmoefiegblmlekk [2015-05-28]
OPR Extension: (disco games) - C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\idgpnmonknjnojddfkpgkljpfnnfcklj [2015-04-14]
OPR Extension: (disco games) - C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\plimopelmdneikoknbgpopffpbmlhgpa [2016-07-30]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-02] ()
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2016-08-02 11:07 - 2016-08-02 11:07 - 00000000 ____D C:\Users\Константин\AppData\Roaming\Enigma Software Group
2016-08-02 11:06 - 2016-08-03 09:57 - 00003308 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
2016-08-02 11:06 - 2016-08-02 11:06 - 00000897 _____ C:\Users\Константин\Desktop\SpyHunter.lnk
2016-08-02 11:06 - 2016-08-02 11:06 - 00000000 ____D C:\sh4ldr
2016-08-02 11:05 - 2016-08-02 11:05 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
File: C:\Windows\system32\update.exe
Task: {8F712E8E-F244-410B-8FF2-FD4D8C8239C4} - System32\Tasks\SpyHunter4Startup => D:\SpyHunter 4.20.9.4533 Portable - AppzDam\App\SpyHunter\SpyHunter4.exe
Task: {8FA8D631-D582-4ECE-BC27-3689147D100A} - System32\Tasks\Ball Style2 => Rundll32.exe "C:\Users\Константин\AppData\Local\Ball Style\{78241872-F529-E633-7A34-B4EBBDD45804}\noacainb.dll",#1 <==== ATTENTION

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

**Dolka** · 04.08.2016, 07:38

Файл прикрепил

**mike 1** · 04.08.2016, 07:48

С расшифровкой не поможем. Смените все пароли

Ваши файлы были зашифрованы вирусом RAA (заявка № 202707)

Опции темы