Вирус-шифровальщик зашифровал все документы на компьютере

Прищёл по почте файл с длинным именем и расширением js. Внутри шифрованный макрос для офиса. Пользователь запустил.

Запускается процесс, скрытый руткитом. Шифрует все документы, добавляя расширение .vault. Потом выводит html с описанием процедуры как заплатить денег.

Все документы теперь имеют расширение .vault и зашифрованы:

gpg: encrypted with RSA key, ID 83719F36
gpg: decryption failed: secret key not available

Ни одним антивирусом, судя по virustotal, не ловится. Гуглпочта тоже ничего не заподозрила.

После отработки вируса в системе остались файлы VAULT.KEY, CONFIRMATION.KEY и инструкция о том куда платить деньги.
Среди удалённых файлов обнаружил secring.gpg, но, к сожалению, пустой.

Уважаемый(ая) [B]unree[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
QuarantineFile('C:\Windows\Temp\RemoveFolder.exe','');
QuarantineFile('C:\Windows\Temp\LaunchAR.exe','');
DeleteFile('C:\Windows\Temp\LaunchAR.exe','32');
DeleteFile('C:\Windows\Temp\RemoveFolder.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','DeleteRemoveFolder');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','DeleteLaunchAR');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888


[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

готово

Логи в порядке. С расшифровкой не поможем.

А от чего зависит возможность расшифровки?
У меня тут ещё есть один зараженный комп.

[QUOTE]А от чего зависит возможность расшифровки?[/QUOTE]
От 2 приватного ключа, который есть только у злодеев.

А Вы предполагали найти приватный ключ в тех двух закарантиненых файлах? Я думал, что он может быть только в secring.gpg, но он в моём случае обнулён и стёрт.

[QUOTE]А Вы предполагали найти приватный ключ в тех двух закарантиненых файлах?[/QUOTE]
Нет. Это остатки вирусных следов.

[QUOTE]Я думал, что он может быть только в secring.gpg[/QUOTE]
Верно, но он 16 раз перезаписывается, а потом удаляется. Результат сохраняется в файл VAULT.KEY и потом шифруется 2 открытым ключом злоумышленника. Файл VAULT.KEY содержит код на расшифровку ваших файлов в зашифрованном виде.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]