Зашифрованы файлы [email protected], id: bublic

На почту пришло письмо как бы от Федеральной службы судебных приставов, с ссылкой на zip файл, после его загрузки и открытия зашифровались (были изменены каким-то алгоритмом) все doc, pdf и jpg файлы.
На рабочем столе картинка с текстом: "твои файлы зашифрованы, если они тебе нужны пиши на почту [EMAIL="[email protected]"][email protected][/EMAIL]. Ваш id bublic ...
Причём при перезагрузке эта картинка опять устанавливается
На диске C:/program files появилась папка с файлами: ОАО СТАТИСТИЧЕСКИЕ ИНФО СИСТЕМЫ РФ, в ней файлы: mmm.bat и update_kor.exe
До того как начать сканирование антивирусными программами AVZ и HijackThis заархивировал эту папку и удалил её из program files (не знаю правильно сделал или нет...)

[ATTACH]479819[/ATTACH]
[ATTACH]479820[/ATTACH]
[ATTACH]479821[/ATTACH]

Уважаемый(ая) [B]Klein[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Зашифрованные файлы:
[url]http://rghost.ru/56478948[/url]

Для этого ID пока дешифратора нет

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Главный бухгалтер\AppData\Local\winrar.exe','');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Local\winrar.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Спасибо за помощь.
К сожалению комп на работе, так что новые логи смогу сделать только в понедельник

[b]thyrex[/b], сумел таки добраться до компа пораньше, вот новые логи:

[ATTACH]480280[/ATTACH]
[ATTACH]480282[/ATTACH]
[ATTACH]480281[/ATTACH]

Логи в порядке. Дешифратором для этого id пока никто не поделился.

Спасибо за ответ.
У меня вопрос: есть ли какая-нибудь инфа по алгоритму, которым зашифровали файлы? Есть ли шанс, что дешифратор кто-нибудь сделает в ближайшее время? А то на работе у меня всё пахнет киросином)

[QUOTE]есть ли какая-нибудь инфа по алгоритму, которым зашифровали файлы?[/QUOTE]
RSA

[QUOTE]Есть ли шанс, что дешифратор кто-нибудь сделает в ближайшее время?[/QUOTE]
Думаю что нет.

я ложанул... надо было проверить делаются ли резервные копии файлов, оказывается да, так что дешифровать ничего не надо )
Да вот ссылка на статью о восстановлении средствами винды
[url]http://virusinfo.info/showthread.php?t=156188#post1096453[/url]

Несколько зашифрованных файлов пришлите

[ATTACH]482218[/ATTACH]

[INFORMATION][color="#FF0000"][b]Внимание![/b][/color] [color="#0000FF"]Данный дешифратор предназначен только для пользователя [b]Klein[/b]
Во избежание [u]окончательной потери информации[/u] использовать данный дешифратор другим пострадавшим [/color][color="#FF0000"][b]не рекомендуется[/b][/color][/INFORMATION]

[url="http://rghost.ru/private/56600964/8f087d133f2400326fed673e3a37ce5b"]Дешифратор[/url]

[u]Принцип работы с дешифратором:[/u]

1. Ввиду медленной расшифровки файлов [b]не пытайтесь скормить сразу слишком много файлов[/b]. Это создает эффект зависания программы, а на самом деле дешифровка идет. Скопируйте часть файлов в отдельную папку и расшифровывайте их.

2. Дешифратор создает две копии расшифрованных файлов:
[color="#0000FF"][b]А)[/b][/color] в первом варианте дешифратор не меняет имя файла, но оставляет в конце файла мусор в виде информации, необходимой для расшифровки. В большинстве случаев такой файл успешно открывается
Исключение: файлы от Microsoft Office 2007, 2010 и некоторых других форматов - смотри п. Б

[color="#0000FF"][b]Б)[/b][/color] во втором варианте дешифратор возвращает файл [u]в первоначальное состояние[/u] до шифрования, но приписывает к имени файла дополнительно расширение [b].bak[/b]
Если это расширение удалить, то файлы, указанные в исключении п. А, тоже успешно открываются

[b]thyrex[/b], спасибо )

Все файлы расшифровались?

[b]mike 1[/b], я выше ж писал
[QUOTE]я ложанул... надо было проверить делаются ли резервные копии файлов, оказывается да, так что дешифровать ничего не надо )[/QUOTE]
но могу попойже попробовать ради интереса расшифровать

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\главный бухгалтер\appdata\local\winrar.exe - [B]Trojan-Ransom.Win32.Rector.jv[/B] ( BitDefender: Gen:Variant.Symmi.13290, AVAST4: Win32:Malware-gen )[/LIST][/LIST]