И снова [email protected]

Добрый день!
Проблема, как у многих. Получено письмо от "приставов", шифрование файлов и т.д.
Компьютер удалённый, не мой. Зашифрованные файлы были сохранены, систему там вовсе переустановили. Т.е., ни выполнить ваши рекомендации, ни предоставить сам шифратор - не представляется возможным.
Читая ваш форум пробовал использовать рекомендации, данные другим пользователям. В частности, утилиту [B]te102decrypt.exe[/B] (v1.10.15.0) с различными кодами. Зашифрованные файлы каждый раз пробовал расшифровать "чистые", т.е., не подвергавшиеся попыткам расшифровки ранее (оригиналы зашифрованных - в архиве лежат). Не получилось расшифровать ничего, кроме [B]zip[/B]. Впрочем, для расшифровки последнего и вовсе дешифратор не нужен оказался. Открылось и без него. А вот с [B]doc[/B] и [B]jpg[/B] - не получилось. Т.е., файлы меняют расширение на нормальное. Но, структура их нарушена.
Можно-ли попросить посмотреть в вашей базе подходящий для расшифровки ключ? Зашифрованные файлы тут:
[url]http://ge.tt/api/1/files/9Zxtnnl1/0/blob?download[/url]
[B]Спасибо в любом случае за вашу работу![/B]

Уважаемый(ая) [B]Ноутбук[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

Сделал. Пункт первый не выполнял, т.к. всё делается на x64.

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера.

Сделайте новые логи

Скрипт выполнил, логи новые сделал.

Логи в порядке.

Понятно. А по первому посту на что-то надеяться можно?

Может и можно мне неохота перебирать все параметры в утилите. Рекомендую обратиться с этим вопросом в техподдержку DrWeb.

--- Добавлено ---

Уже коллега ответил вам повезло.

[INFORMATION]

Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe"]te102decrypt.exe[/URL] и сохраните [B][color="#0000CD"]в корень диска С[/color][/B].

В командной строке введите:
[code]C:\te102decrypt.exe -k 484 -t 8[/code]

[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/information]

[B]thyrex[/B], огромное Спасибо!!! Всё дешифровал.
[B]mike 1[/B], Вам тоже Спасибо!!!
P.S. Ради любопытства вопрос можно задать?

[quote="Ноутбук;1128819"][B]thyrex[/B], сейчас проверю. Отпишусь минут через 20.[/quote]Два файла из первого сообщения успешно дешифрованы. Я не советую с дешифраторами того, о чем не могу сказать с уверенностью на 100%

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Ноутбук;1128819"]P.S. Ради любопытства вопрос можно задать?[/quote]О чем речь?

[B]thyrex[/B], я не ради подвергнуть сомнению. Я ради того, что отпишусь о решении проблемы.
В-общем, на будущее учту. И двусмысленностей больше писать не буду. :)

Вопрос из-за любопытства:
В первом посте я постарался максимально полно изложить суть проблемы. В том числе и то, что не имею доступа к заражённому компьютеру (да и на нём уже чистая пока-что система стоит). И всё-равно мне было рекомендованно пройти полную процедуру обращения. Ок. Я не задавал никаких вопросов, а просто делал всё предлагаемое на своём компьютере. Врать не буду, попутно про себя задавал себе вопросы о том, какое отношение мой комп имеет к компу, где данные файлы были зашифрованы... Придумал два ответа:
1. Просто это порядок, который существует и неукоснительно выполняется. Независимо ни от каких обстоятельств. И цель тут - в соблюдении порядка, как такового.
2. У данного ресурса есть задача максимум. Вылечить как можно больше компьютеров. И в связи с этим - не важно, по какому поводу сюда обратились. В первую очередь - всё-равно проверка данного компа.
Как-бы, пункты похожие. Но, немного разняться всё-же... Вот такое вот любопытство.
На всякий случай сразу поясню, что я не в качестве чего-либо негативного интересуюсь. Ни капли такого нет. Это всё - праздное любопытство, не более.

Если бы мой коллега был чуточку внимательнее и прочел[quote="Ноутбук;1128621"]систему там вовсе переустановили. Т.е., ни выполнить ваши рекомендации, ни предоставить сам шифратор - не представляется возможным.[/quote]я думаю, что Вам не было необходимости следовать всей процедуре :)

Во всех остальных случаях обращения [B]в данный раздел[/B] - порядок превыше всего

[b]thyrex[/b], всё понял. Ещё раз - Спасибо!!!
[SIZE=1][I]Наверно, тему можно закрывать.[/I][/SIZE]