Шифровальщик файлов [email protected]

Printable View

12.08.2014, 08:03
Griffon666

Вложений: 2

Шифровальщик файлов [email protected]

Доброго времени суток!
5 августа по удалёнке залез вирус и зашифровал jpeg, doc, xls, docx итд. Все файлы сменили расширение на CBF и приняли вид: Старое_имя.старое_расширение.id-{набор_символов_дата_и_время_шифровки}[email protected].
Пытался справиться сам, использовал все доступные утилиты с сайта Касперского, результата нет. Утилита rectordecryptor обнаруживает файлы, лечит, меняет расширение, но файлы не открываются (думаю, что вирус уже модернизировали или просто поменяли ключ шифрования). Прилагаю логи из AVZ и HijackThis, а также образец файла до заражения и после.
Файл до заражения:
[URL]http://rusfolder.com/control/?file_id=41434652&code=83e7d241b9d10c4095cc71bf8aef36e6[/URL]
Файл после заражения:
[URL]http://rusfolder.com/control/?file_id=41434651&code=7093f93dd8d8b9b2c6264cbf70d77a47[/URL]
Помогайте, а то работа в офисе уже на неделю встала :-)
Спасибо.
12.08.2014, 08:04
Info_bot

Уважаемый(ая) [B]Griffon666[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.08.2014, 10:55
thyrex

Перечитайте правила и пришлите [B]нужные[/B] логи AVZ
12.08.2014, 11:08
Griffon666

Вложений: 1

В Правилах указано, что для х64 отправляется только один лог.
Исправляюсь:
12.08.2014, 11:13
thyrex

Babylon сами устанавливали? Если нет, удалите через Установку программ

Поифките в HiJack
[CODE]O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)[/CODE]Больше ничего плохого

Без оригинального дешифратора не обойтись
12.08.2014, 11:20
Griffon666

Вложений: 1

Всё плохое ещё до обращения почистил, это не новость... Думаю, как расшифровать файлы? Прикрепляю скриншот карантина Касперского.

Если открыть зашифрованные файлы через блокнот и сравнить, чётко видно, что вирус дописал текст в начало и в конец файла.
12.08.2014, 11:33
thyrex

Все это нам и так известно
12.08.2014, 11:42
Griffon666

И всё, файлы можно удалять, архив за пять лет погиб?
12.08.2014, 11:53
thyrex

[quote="thyrex;1147392"]Без оригинального дешифратора не обойтись[/quote]А он есть только сами знаете у кого. Так что решать Вам. Увы :(
12.08.2014, 12:01
Griffon666

Ясно. Спасибо за потраченное время.
12.08.2014, 14:06
mike 1

Возможно смогут помочь в DrWeb т.к. эта версия не самая последняя и есть некоторые шансы.