Зашифрованы документы на компьютере, Trojan.Encoder.567

Printable View

08.08.2014, 23:14
Zergushonok

Зашифрованы документы на компьютере, Trojan.Encoder.567

Всем привет и доброго времени суток.
Нужна ваша помощь, ибо случилась с железным неприятная история.

Анамнез:
- Письмо от якобы арбитражного суда РФ
- Неосмотрительный щелчок пользователем по ссылке "на документы" в этом письме
- Заражение компьютера в обход бдящего MSE, что привело к шифровке 90% всех doc, docx и xls файлов, т.е. почти всех документов на самом компьютере и подключенном на момент съёмном HDD. Плюс, смена фона на информацию о том, что файлы зашифрованы, а для их дешифровки нужно написать на [email][email protected][/email].

Итог:
- Большое количество важных, но невосстановимых более ниоткуда документов, зашифрованы
- Все зашифрованные файлы переименованы по одинаковой схеме: [B]"оригинальное имя.id-{PSUWABEFHJKMOPQSTVXYABCEGHJKLNPQSTVW-06.08.2014 [email]11@26@483518981}[email protected][/email]"[/B], набор символов и цифр для всех файлов идентичен
- Ссылка на архив с примерами файлов: [url]https://yadi.sk/d/bCTffTIcZJqwb[/url]

Предпринятые меры:
- Полный прогон последним CureIT в безопасном режиме, найдено два экземпляра [B]Trojan.Encoder.567[/B] в двух файлах svchost.exe, созданных, очевидно, вирусом (файлы находились в папках decryptfiles и СУДЕБНАЯ ИНФОРМАЦИЯ). Оба файла удалены CureIT
- AVZ по инструкции, syscure:[URL]https://yadi.sk/d/nj8EU9xrZJqZF[/URL], syscheck:[URL]https://yadi.sk/d/OUw5qOIAZJqYx[/URL]
- HijackThis по инструкции, лог: [URL]https://yadi.sk/i/UAXaMSn4ZJqYN[/URL]

Надеюсь, файлы ещё можно спасти.
Спасибо.
08.08.2014, 23:15
Info_bot

Уважаемый(ая) [B]Zergushonok[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.08.2014, 10:59
thyrex

Логи прикрепите на форуме через кнопку Расширенный режим и значок скрепки
09.08.2014, 11:20
Zergushonok

Вложений: 3

Прикрепляю.
syscure: [ATTACH=CONFIG]488612[/ATTACH]
syscheck: [ATTACH=CONFIG]488611[/ATTACH]
hijack: [ATTACH=CONFIG]488610[/ATTACH]
09.08.2014, 12:24
thyrex

Пофиксите в HiJack
[code]O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)[/code]В остальном порядок.

Без оригинального дешифратора не обойтись

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Пофиксите в HiJack
[code]O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)[/code]В остальном порядок.

Без оригинального дешифратора не обойтись
09.08.2014, 12:55
Zergushonok

Спасибо.
Означает ли это, что нет другого выхода, кроме как писать на [email][email protected][/email] и, видимо, платить энную сумму в надежде на то, что они действительно пришлют дешифровщик?
Есть ли вероятность, что поможет поддержка Dr Web/Касперского, если приобрести лицензию?
09.08.2014, 14:25
thyrex

У Лаборатории Касперского нет дешифратора, у DrWeb - что-то есть, но не факт, что поможет.