Файлы зашифрованы EnCiPhErEd.d [Trojan-Ransom.Win32.Xorist.ln, HEUR:Trojan.Win32.Generic]

Добрый день!
Поймал шифровальщик.
Мой личный компьютер с интернетом, включен круглосуточно. Когда появился синий экран я не видел.
Перегрузил, получил сообщение в блокноте:

[QUOTE]ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ДЛЯ ИХ РАСШИФРОВКИ
ПРОЧТИТЕ ИНСТРУКЦИЮ
ПО ССЫЛКЕ: [URL]https://goo.gl/kvLpNW[/URL]
[/QUOTE]

По ней открывается файл 3.txt на Гугл диске следующего содержания:
[QUOTE]

Все ваши файлы зашифрованы.
Любые попытки расшифровать их с помощью антивирусных утилит и программ приведут в действие защитный механизм
нашего вируса, который необратимо повредит их без возможности дальнейшей расшифровки.
Расшифровать ваши файлы можем только мы.

Стоимость расшифровки 1150 гривен.

Для оплаты у вас должен быть интернет банкинг Приват

Далее:
Заходите на обменный сервис [URL]https://bitcoin-obmen.com/[/URL]
Возле меню "Отдаете" выбираете Privat24
Возле меню "Получаете" выбираете Bitcoin
Ниже в поле ввода "Приват24 UAH"
Указываете сумму 1150 UAH
Еще ниже в поле ввода "Адрес BTC"
Указываете 13bp8ANUnBekssy48evjQbU4AXJiYyDbfC
Это наш счет в BItcoin 13bp8ANUnBekssy48evjQbU4AXJiYyDbfC
Дальше указываете ваш email (необязательно)

И нажимаете на кнопку "Обмен"
Следуете дальнейшим инструкциям

После завершения оплаты отправляете скриншот и чек об оплате на [EMAIL="[email protected]"][email protected][/EMAIL]
Также нам нужно будет знать ip адрес вашего компьютера где были зашифрованы файлы,
его вы можете узнать зайдя на сайт 2ip.ru
Когда мы получим ваше сообщение и все проверим(онлайн мы очень часто), то сразу отправим вам расшифровщик файлов с
полной инструкцией по их расшифровке.

Мы отвечаем на письма только после проверки оплаты. Любые угрозы и оскорбления будут проигнорированы.
Помните расшифровать ваши файлы можем только мы

[/QUOTE]

Очень прошу помочь.
Файлы прилагаю

[URL]http://nekaka.com/d/mAfStGVA0p[/URL] - образец файла
[URL]http://nekaka.com/d/7qvOgwZNrM[/URL] - virusinfo_syscure.zip
[URL]http://nekaka.com/d/xNXKeP1wU4[/URL] - virusinfo_syscheck.zip

Уважаемый(ая) [B]mechanic152[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Вот здесь [url]http://virusinfo.info/showthread.php?t=191285[/url] (сообщение #13) есть упоминание о подобном от thyrex

Увы, в этот раз другие ключи похоже.
Нужно искать тела обоих шифраторов

Спасибо за ответ. Их, оказывается, два...

Я вынул из карантина Eseta 4 файл c91K9Sgoop6QqVS.exe. Eset пишет: "модифицированный Win32/Filecoder.Q троянская программа"

Как его правильно Вам переслать? На всякий случай положил на файлообменник [url]http://nekaka.com/d/uQUSGZHSee[/url] (запакован c91K9Sgoop6QqVS[COLOR="#FF0000"],[/COLOR]exe с помощью 7z без пароля)

Должно быть два файла

Здравствуйте.
Загрузил оба файла по правилам (по ссылке вверху virus.zip). Пока систему не трогаю, жду, что скажете.
Спасибо.

Ок, отвечу позже

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Еще один нюанс: проверьте, нет ли у Вас файлов у которых дописано [B]только[/B] расширение .EnCiPhErEd. Если таковые будут, сообщите

Да, есть такие. Выложил на файлообменник [url]https://nekaka.com/d/GiYSnOwkSs[/url] (там один и тот же pdf, шифрованный обоими )

Проверяйте личные сообщения

Всё работает.
Всего зашифрованных файлов на компьютере оказалось около 51тысячи, немудрено, что компьютер уходил в синий экран.
По процессу расшифровки:
- Для быстрого поиска зашифрованных файлов по расширению и папкам использовал ранее установленную
Everything Search Engine (гуглится).
- Важные файлы расшифровывал по одному, потом по 10. После восстановления важных запустил расшифровку на один из разделов диска, всё отработало на ура. Утилита, предоставленная Вами, удобна и понятна.

Спасибо Вам за оперативность и профессионализм!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\enciphered.d\to_virusinfo\тело\temp\c91k9sgoop6qqvs.exe___1 - [B]Trojan-Ransom.Win32.Xorist.ln[/B] ( BitDefender: Generic.Malware.Sprn.B6C3A993, AVAST4: Win32:Evo-gen [Susp] )[*] c:\enciphered.d\to_virusinfo\тело\temp\o16pw1cr5yn3emm.exe__2 - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Generic.Malware.Sprn.BE4AAF60, AVAST4: Win32:Evo-gen [Susp] )[*] c:\enciphered.d\to_virusinfo\тело\temp\xm.exe_ - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Generic.Malware.Sprn.BE4AAF60, AVAST4: Win32:Evo-gen [Susp] )[*] c:\enciphered.d\to_virusinfo\тело\temp\xm1.exe_ - [B]Trojan-Ransom.Win32.Xorist.ln[/B] ( BitDefender: Generic.Malware.Sprn.B6C3A993, AVAST4: Win32:Evo-gen [Susp] )[/LIST][/LIST]