Зашифровались файлы doc, xls, pdf, jpg. Вирус из письма "от прокуратуры"

Здравствуйте! Предыстория такова: девушке на работе пришло письмо якобы от прокуратуры с вложением. Она запаниковала и попыталась вложение открыть. В результате зашифровались все файлы по маске из темы, имена файлов изменились: ОТВЕТ ПО РЕКЛАМЕ.doc стал ОТВЕТ ПО РЕКЛАМЕ.doc.id-{BEFGJJLMOPQSSUVXXZABCEFGHJKLMOOQRTTV-10.07.2014 [email]9@46@139565914}[email protected][/email]. Она запустила полную проверку системы Microsoft Security Essentials. Он нашел какой-то троян и удалил его (я в организации приходящий админ и она сначала пыталась решить проблему сама). Название найденного трояна она не запомнила, когда я у них был времени не было копаться в логах mse, чтобы найти имя зловреда (если это критически важно, то найду). Никаких файлов с требованиями что-либо сделать для расшифровки нигде не появилось. Пробовал прогнать дешифраторами касперского XoristDecryptor и RectorDecryptor. RectorDecryptor ничего не расшифровал, XoristDecryptor сказал, что расшифровал много-много файлов, но они не открываются (нормально открылись лишь пара-тройка картинок). Пример зашифрованных файлов и расшифрованных в результате работы XoristDecryptor у меня есть.

Уважаемый(ая) [B]Константин Моисеев[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Лог работы XoristDecryptor найдите на диске С и пришлите. Хотя я очень сомневаюсь, что именно эта утилита, а не RectorDecryptor, писала об удачной расшифровке файлов

[QUOTE]Лог работы XoristDecryptor найдите на диске С и пришлите. Хотя я очень сомневаюсь, что именно эта утилита, а не RectorDecryptor, писала об удачной расшифровке файлов[/QUOTE]
Вы абсолютно правы! Прикладываю логи работы обоих утилит, на всякий.
Rector: [url]https://www.dropbox.com/s/qhitlq0ifa5bbzc/RectorDecryptor.2.6.29.0_28.07.2014_11.57.00_log.zip[/url]

Неужели все так плохо, что аж сказать нечего?

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}w64', 4);
StopService('{55685567-4840-4a91-962b-49a412e9485a}w64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}Gw64', 4);
StopService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)


[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Простите, что так долго. Сначала сотрудница была в отпуске, потом я. Наконец, мы пересеклись и я смог выполнить Ваши рекомендации. Логи прикладываю, карантин отправил.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
***** [ Файлы / Папки ] *****
Папка Найдено : C:\Program Files (x86)\Mail.Ru
Папка Найдено : C:\Users\Татьяна\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Татьяна\AppData\LocalLow\Mail.Ru

[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Пришлите несколько зашифрованных файлов формата [B][COLOR="#0000FF"]doc[/COLOR][/B] или [B][COLOR="#0000FF"]xls[/COLOR][/B].

Сделал все как Вы сказали. В архиве 2 зашифрованных файла формата rtf и 2 файла формата xls.
[url]https://www.dropbox.com/s/mtv6l52pgczh1qv/primer.zip?dl=0[/url]

[INFORMATION]

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te567decrypt.exe"]te567decrypt.exe[/URL] и сохраните [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B].

В командной строке введите:
[code]C:\te567decrypt.exe -brute[/code]

[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/INFORMATION]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]