Прошу помощи! [HEUR:Trojan.Win32.Generic ]

**GaZZoN** · 31.10.2016, 21:55

Доброго времени суток!

Троян зашифровал базу данных 1С переименовывая расширения файлов на *.erfile
+ вдобавок переименовал все *.doc/txt/xls...... и много других
При загрузке высвечивается текстовый файл следующего содержания:

Все ваши файлы зашифрованы с помощью криптостойкого алгоритма!
Для расшифровки файлов, вам необходимо написать на email: [email protected]

Стоимость расшифровки 6500 руб., спешите, т.к. скоро цена будет больше!

DR.WEB Cute it ничего не нашел, Kaspersky RT нашел вирус: erfile.exe (прикреплю)

Помогите решить проблему, с меня + в карму и монета в поддержку.
заранее благодарен.

П.с. сам вирус есть

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.10.2016, 21:56

Уважаемый(ая) GaZZoN, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 01.11.2016, 19:33

C:\NeoSpy

Содержимое папки знакомо?

Для подбора ключа нужны два одинаковых файла зашифрованный/оригинал

**GaZZoN** · 01.11.2016, 20:07

- - - - -Добавлено - - - - -

NeoSpy - подозреваю, что это ПО которое установил добрый "программист". Сама прога предназначена для слежения за компом удаленно, и скорее всего устанавливалась вместе с вирусом.
Ее отключил, убрал из автозагрузки, но пока не удаляю.

есть большие подозрения на то, что вирус запустили удаленно, т.к. на компе стоит РДП и само тело вируса нашел у пользователя который скачал его к себе на рабочий стол как раз в пятницу после обеда (комп на выходные не выключается).

- - - - -Добавлено - - - - -

Сообщение от mike 1

Для подбора ключа нужны два одинаковых файла зашифрованный/оригинал

Проблема в том, что остались либо все закодировано либо, он это еще не съел
Все что осталось: ярлык который уже зашифрован и целый (в приложении)

**thyrex** · 01.11.2016, 20:13

Ключ уже подобран. Жду файлы для теста

**GaZZoN** · 01.11.2016, 20:17

Сообщение от thyrex

Ключ уже подобран. Жду файлы для теста

Мегамозг!
Отправил

**thyrex** · 01.11.2016, 20:24

Проверьте ЛС

**mike 1** · 01.11.2016, 20:26

Обидно, ну ладно, не буду мешать.

**GaZZoN** · 01.11.2016, 23:10

Сообщение от mike 1

Обидно, ну ладно, не буду мешать.

Спасибо за проявленное внимание!

- - - - -Добавлено - - - - -

Сообщение от thyrex

Проверьте ЛС

Огроменное спасибо!
Все восстановило, доки открылись, базы тоже заработали!

Давайте реквизиты для выражения благодарности!

**CyberHelper** · 01.11.2016, 23:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \erfile.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Ransom.AIG )

Прошу помощи! [HEUR:Trojan.Win32.Generic ] (заявка № 205389)

Опции темы