Cryptolocker зашифровал все файлы [not-a-virus:NetTool.Win64.NetFilter.lf, not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ]

**JulioKirio** · 12.11.2016, 12:10

Вчера Cryptolocker заблокировал файлы. Помогите, пожалуйста, расшифровать, если это возможно. На рабочем столе создано несколько файлов txt с таким содержанием: Support e-mail: [email protected] [email protected]

Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files,
located on a secret server on the Internet; the server will destroy the key after 120 hours.

After that nobody and never will be able to restore files.

To obtain the private key for this computer, you need pay 0.35 Bitcoin (~244 USD)

---------------------------------------------------------------------------------------------------

Your Bitcoin address:

1NbzXbqSGudJ75LuWvkAxtDr55ffkZRZ6j

You must send 0.35 Bitcoin to the specified address and report it to e-mail customer support.

In the letter must specify your Bitcoin address to which the payment was made.

---------------------------------------------------------------------------------------------------

The most convenient tool for buying Bitcoins in our opinion is the site:

https://localbitcoins.com/

There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
credit and debit cards, money orders, and others.

Instructions for purchasing Bitcoins on account localbitcoins.com read here:

https://localbitcoins.com/guides/how-to-buy-bitcoins

Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:

http://www.youtube.com/watch?v=hroPcR-0zSI

How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:

https://localbitcoins.com/faq#howto_buy

Also you can use to buy Bitcoins these sites:

https://www.bitstamp.net/ - Big BTC exchanger
https://www.coinbase.com/ - Other big BTC exchanger
https://www.moneypakforbitcoins.us/ - Buy BTC via Green Dot MoneyPak
https://btcdirect.eu/ - Best for Europe
https://coincafe.com/ - Recommended for fast, many payment methods
https://bittylicious.com/ - Good service for Europe and World
https://www.247exchange.com/ - Other exchanger

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.11.2016, 12:11

Уважаемый(ая) JulioKirio, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 12.11.2016, 16:42

C:\Users\Julia\AppData\Local\Ovics\tmp197B.exe
c:\users\julia\appdata\local\microsoft\protect\pro tecthost.dll
C:\Users\Администратор\AppData\Roaming\52f8af\f9be 1b.6e5b034
C:\Users\Julia\AppData\Roaming\52f8af\f9be1b.6e5b0 34
C:\Users\Julia\AppData\Roaming\Microsoft\Crypto\sy sras.exe
C:\Users\Julia\AppData\Local\Ovics\vnljakml.dll
C:\Users\Julia\AppData\Local\IQQsoft\qccdytlr.dll

заархивируйте с паролем virus, выложите на www.sendspace.com и пришлите ссылку мне в личные сообщения

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Julia\AppData\Local\Ovics\tmp197B.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('c:\users\julia\appdata\local\microsoft\protect\protecthost.dll','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\52f8af\f9be1b.6e5b034','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\52f8af\f9be1b.6e5b034','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\Microsoft\Crypto\sysras.exe','');
 QuarantineFile('C:\Users\Julia\AppData\Local\Ovics\vnljakml.dll','');
 QuarantineFile('C:\Users\Julia\AppData\Local\IQQsoft\qccdytlr.dll','');
 TerminateProcessByName('c:\users\julia\appdata\local\ovics\tmp197b.exe');
 QuarantineFile('c:\users\julia\appdata\local\ovics\tmp197b.exe','');
 QuarantineFile('C:\Program Files\BDAntiCryptoLocker\BDAntiCryptoLocker.exe','');
 DeleteFile('c:\users\julia\appdata\local\ovics\tmp197b.exe','32');
 DeleteFile('C:\Users\Julia\AppData\Local\IQQsoft\qccdytlr.dll','32');
 DeleteFile('C:\Users\Julia\AppData\Local\Ovics\vnljakml.dll','32');
 DeleteFile('C:\Users\Julia\AppData\Roaming\Microsoft\Crypto\sysras.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2e7a6119');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YjbPack');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQQsoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ovics');
 DeleteFile('C:\Users\Julia\AppData\Roaming\52f8af\f9be1b.6e5b034','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\52f8af\f9be1b.6e5b034','32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('c:\users\julia\appdata\local\microsoft\protect\protecthost.dll','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotector.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32');
 DeleteFile('C:\Users\Julia\AppData\Local\Ovics\tmp197B.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

**JulioKirio** · 13.11.2016, 10:18

Новые логи:

**thyrex** · 13.11.2016, 12:31

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**JulioKirio** · 14.11.2016, 19:40

Отчет Farbar Recovery Scan Tool

**thyrex** · 14.11.2016, 19:51

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-2061428950-705147603-2581851065-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-2061428950-705147603-2581851065-1000\...\RunOnce: [Adobe Speed Launcher] => 1479097300
Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a63058.lnk [2016-11-11]
ShortcutTarget: a63058.lnk -> C:\Windows\System32\mshta.exe (Microsoft Corporation)
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bdfb9f.lnk [2016-11-11]
ShortcutTarget: bdfb9f.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation)
FF HKU\S-1-5-21-2061428950-705147603-2581851065-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\Julia\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Stream Web Extension) - C:\Users\Julia\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2015-12-18]
FF Plugin HKU\S-1-5-21-2061428950-705147603-2581851065-1000: @acestream.net/acestreamplugin,version=3.1.7 -> C:\Users\Julia\AppData\Roaming\ACEStream\player\npace_plugin.dll [2015-08-06] (Innovative Digital Technologies)
CHR Extension: (Ace Stream Web Extension) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-08-14]
CHR Extension: (Chrome Media Router) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-26]
CHR HKU\S-1-5-21-2061428950-705147603-2581851065-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
2016-11-11 17:27 - 2016-11-12 17:35 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\52f8af
2016-11-11 17:27 - 2016-11-11 17:27 - 00000000 ____D C:\Users\Администратор\AppData\Local\d17a2c
C:\Users\Julia\AppData\Local\Temp\amigo_setup.exe
C:\Users\Администратор\AppData\Local\Temp\amigo_setup.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**JulioKirio** · 15.11.2016, 09:53

Fixlog

**thyrex** · 15.11.2016, 11:48

Зашифровано новой версией PClock. C расшифровкой не сможем помочь никаким способом.

**CyberHelper** · 15.11.2016, 11:58

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\contentprotector\condefclean.exe - not-a-virus:NetTool.Win64.NetFilter.jd
2. c:\program files\contentprotector\conprotsetup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
3. c:\program files\contentprotector\contentprotectorconrol.exe - not-a-virus:NetTool.Win64.NetFilter.jd
4. c:\program files\contentprotector\contentprotectordrv.sys - not-a-virus:NetTool.Win64.NetFilter.lf
5. c:\program files\contentprotector\contentprotector.exe - not-a-virus:NetTool.Win64.NetFilter.jd
6. c:\program files\contentprotector\contentprotectorupdate.exe - not-a-virus:NetTool.Win64.NetFilter.jd
7. c:\program files\contentprotector\import_root_cert.exe - not-a-virus:NetTool.Win64.NetFilter.jd
8. c:\program files\contentprotector\nss\certutil.exe - not-a-virus:NetTool.Win64.NetFilter.jd
9. c:\users\julia\appdata\local\iqqsoft\qccdytlr.dll - Trojan.Win32.Agent.nextbb ( BitDefender: Gen:Variant.Miuref.3 )
10. c:\users\julia\appdata\local\microsoft\protect\pro tecthost.dll - HEUR:Trojan.Win32.Generic
11. c:\users\julia\appdata\local\ovics\tmp197b.exe - HEUR:Trojan.Win32.Generic
12. c:\users\julia\appdata\local\ovics\vnljakml.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Miuref.3 )

Cryptolocker зашифровал все файлы [not-a-virus:NetTool.Win64.NetFilter.lf, not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ] (заявка № 205801)

Опции темы