Вирус-шифровальщик [not-a-virus:RiskTool.Win32.BitCoinMiner.wzo, Trojan-Ransom.Win32.Agent.iej ]

Здравствуйте.
14.01.15 компьютер заразился вирусом, обнаружил только 15.01.15: в одной из папок почти все файлы графических форматов .jpeg .png .tiff .ai .psd поменяли свои расширения на .xbtl, а названия изменились на различные символьные коды, соответственно файлы перестали открываться.
На момент заражения стоял не лицензионный SpyHunter 4, но к сожалению был выключен, запустил с его помощью проверку, обнаружил несколько вирусов один из которых назывался "Trojan.Potera" как я понял "Троян Потеря". Во время проверки в корнях диска D: и С: нашел файл "README1":

[I]Ваши файлы были зашифрованы.[/I]
[I]Чтобы расшифровать их, Вам необходимо отправить код:[/I]
[I]C3326A47C62B6B415B74|0[/I]
[I]на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .[/I]
[I]Далее вы получите все необходимые инструкции. [/I]
[I]Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.[/I]


[I]All the important files on your computer were encrypted.[/I]
[I]To decrypt the files you should send the following code:[/I]
[I]C3326A47C62B6B415B74|0[/I]
[I]to e-mail address [EMAIL="[email protected]"][email protected][/EMAIL] or [EMAIL="[email protected]"][email protected][/EMAIL] .[/I]
[I]Then you will receive all necessary instructions.[/I]
[I]All the attempts of decryption by yourself will result only in irrevocable loss of your data.

[/I]Антивирус обезвредил файлы, я благополучно вырубил комп. На след. день супруга включила компьютер со включенным антивирусом и весь день сидела в интернете. Вечером я обнаружил, что почти все файлы на диске D: закодированы. В этот момент я прочитал инструкции в интернете, поянл что заразился вирусом энкодером, отключил комп. от сети и питания. Далее делал все по вашей инструкции. У меня Windows 7 x64.

Если будет нужно прилагаю закодированные текстовые документы:
[URL]http://putit.ru/download/MjcxMjM3NTkwODMyNg==[/URL]
или
[URL]http://файлообменник.рф/hmx4woox06rw.html[/URL]

Видел у вас пост с запросом о помощи на аналогичный вирус:
[url]http://virusinfo.info/showthread.php?t=174641[/url]

Надеюсь вы подскажите как избавиться от вируса и расшифровать файлы. Спасибо.

Уважаемый(ая) [B]sham2501[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Users\Комп\appdata\roaming\x11\engine.exe','');
QuarantineFile('C:\Users\Комп\AppData\Roaming\CJHUE.exe','');
QuarantineFile('C:\Users\Комп\AppData\Roaming\VUUQ.exe','');
QuarantineFile('C:\Program Files (x86)\CinePlus-1.2V19.11\ac3cac2f-c910-41b5-9c59-89d929f9862f-6.exe','');
QuarantineFile('C:\Program Files (x86)\CinePlus-1.2V19.11\ac3cac2f-c910-41b5-9c59-89d929f9862f-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinePlus-1.2V19.11\ac3cac2f-c910-41b5-9c59-89d929f9862f-2.exe','');
QuarantineFile('C:\Users\Комп\AppData\Roaming\Microsoft\Windows\IEUpdate\setx.exe','');
DeleteFile('C:\Users\Комп\AppData\Roaming\Microsoft\Windows\IEUpdate\setx.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','setx');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor','AutoRun');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
DeleteFile('C:\Program Files (x86)\CinePlus-1.2V19.11\ac3cac2f-c910-41b5-9c59-89d929f9862f-2.exe','32');
DeleteFile('C:\Program Files (x86)\CinePlus-1.2V19.11\ac3cac2f-c910-41b5-9c59-89d929f9862f-5.exe','32');
DeleteFile('C:\Program Files (x86)\CinePlus-1.2V19.11\ac3cac2f-c910-41b5-9c59-89d929f9862f-6.exe','32');
DeleteFile('C:\Users\Комп\AppData\Roaming\VUUQ.exe','32');
DeleteFile('C:\Users\Комп\AppData\Roaming\CJHUE.exe','32');
DeleteFile('C:\Windows\Tasks\CJHUE.job','64');
DeleteFile('C:\Windows\Tasks\VUUQ.job','64');
DeleteFile('C:\Windows\system32\Tasks\ac3cac2f-c910-41b5-9c59-89d929f9862f-2','64');
DeleteFile('C:\Windows\system32\Tasks\ac3cac2f-c910-41b5-9c59-89d929f9862f-5','64');
DeleteFile('C:\Windows\system32\Tasks\ac3cac2f-c910-41b5-9c59-89d929f9862f-6','64');
DeleteFile('C:\Users\Комп\appdata\roaming\x11\engine.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
DeleteFileMask('C:\Program Files (x86)\CinePlus-1.2V19.11', '*', true);
DeleteDirectory('C:\Program Files (x86)\CinePlus-1.2V19.11');
DeleteFileMask('C:\Users\Комп\appdata\roaming\x11', '*', true);
DeleteDirectory('C:\Users\Комп\appdata\roaming\x11');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Спасибо за оперативность.

Выполнил скрипт и логи. Логи приложил.

По выполненному скрипту архив "virus" залил сюда:

[удалено]

Пароль: virus

[quote="sham2501;1214494"]По выполненному скрипту архив "virus" залил сюда[/quote]Пришлите так, как Вас просят, а не так, как Вам легче показалось

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Извините, не сразу понял, куда заливать карантинный файл, теперь всё правильно закачал.
Прикладываю логи с RSITа

SpyHunter удалите

Удалите вручную
[QUOTE]C:\Users\Комп\AppData\Roaming\ssleas.exe
C:\Users\Комп\AppData\Roaming\data13.dat
C:\Users\Комп\AppData\Roaming\x13[/QUOTE]

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Три файла удалил Shift+Del.
Сделал Custom scan по инструкции.

Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]Processes: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 1676, , [db76a94eaddcc07692899cd915eb5ba5]

Files: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [db76a94eaddcc07692899cd915eb5ba5], [/CODE]

С расшифровкой не поможем

Поместил всё в карантин. Перезагрузился. Проверил снова, нашел только файл и процесс Trojan.FakeAlert.
Trojan.FakeAlert - это безопасный файл?
На данный момент мы обезвредили вирус полностью и поместили его в карантин?
И есть ли у вас платная услуга дешифровки файлов?

[quote="sham2501;1214603"]Trojan.FakeAlert - это безопасный файл?[/quote]Это активатор для Windows

[quote="sham2501;1214603"]И есть ли у вас платная услуга дешифровки файлов?[/quote]Есть, но в данном случае и там не поможем

Есть ещё вопрос, дешифровка на данный момент невозможна, так как ещё не был расшифрован код, или код настолько сложный, что его не расшифруют никогда? Зашифрованы сотни гигабайт ценной информации.

Во всяком случае спасибо за помощь в этом нелегком деле, теперь хоть компьютер включить могу.

Я не занимался анализом. Но скорее всего дело в уникальности ключа и сложности алгоритма

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\windows\csrss.exe - [B]Trojan-Ransom.Win32.Agent.iej[/B][*] c:\users\комп\appdata\roaming\microsoft\windows\ieupdate\setx.exe - [B]Trojan.Win32.Agent.amoow[/B] ( AVAST4: Win64:Malware-gen )[*] c:\users\комп\appdata\roaming\x11\engine.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.wzo[/B] ( DrWEB: Tool.BtcMine.479, BitDefender: Trojan.Generic.12296710 )[/LIST][/LIST]