Вирус зашифровал важные данные с расширением EnCdfeiPhsdEdfs :(
Пострадали .xls, .rar, .txt, .doc, .png, .jpg, .bmp и др.
Помогите расшифровать. Спасибо.
Printable View
Вирус зашифровал важные данные с расширением EnCdfeiPhsdEdfs :(
Пострадали .xls, .rar, .txt, .doc, .png, .jpg, .bmp и др.
Помогите расшифровать. Спасибо.
Уважаемый(ая) [B]TaiRaise[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
Логи:
[ATTACH=CONFIG]607667[/ATTACH]
[ATTACH=CONFIG]607668[/ATTACH]
Стоит ли загрузить зашифрованный файл?
Вспоминайте, что запускали перед появлением шифрования
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи[/COLOR][/B]
Новые логи:
[ATTACH=CONFIG]607722[/ATTACH]
[ATTACH=CONFIG]607723[/ATTACH]
Check Browsers LNK лог:
[ATTACH=CONFIG]607724[/ATTACH]
При загрузке карантина выскочила данная надпись: "Результат загрузки. Ошибка загрузки. Данный файл уже был загружен."
После результата выполнения кода в архиве [B]quarantine.zip[/B] ничего нет. В папке [B]avz4/Quarantine[/B] также отсутствует какая-либо информация(файлы).
[quote="thyrex;1343821"]Вспоминайте, что запускали перед появлением шифрования[/quote]На каком этапе мыслительный процесс?
Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.
На каком этапе мыслительный процесс?
Скорее всего после установки программы Mkey. Точно не знаю. Заметил, что файлы зашифрованы спустя недели 1.5~2 недели, когда понадобилась программа FL Studio. Теперь открыть ее не могу. Большая часть файлов, включая огромную библиотеку звуков, закодировано вирусом. Файлы очень важны для меня.
Отчет:
[ATTACH=CONFIG]607737[/ATTACH]
Без тела шифровальщика помочь невозможно
И что теперь? Делал все по вашим инструкциям.
А самого шифровальщика в логах не было
Разве пункт [B]5[/B] раздела "[B]Прежде всего[/B]" [url]http://virusinfo.info/pravila.html[/url] не убирает из логов шифровальщик? Логи же делаются после, а не перед... 81 000 файлов зашифровано... :(
А я должен сам догадаться, удалялось ли что-то при проверке перед созданием логов?
Там же написано "к найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять". Все было сделано. Какие теперь советы?
"Обнаружив неизвестный вредоносный файл, утилита XoristDecryptor предложит отправить его на почту [email][email protected][/email]. Специалисты Лаборатории Касперского изучат присланный файл и обновят базу утилиты XoristDecryptor. При повторном запуске утилита скачает базы и устранит заражение." Ничего не произошло после указания на зашифрованный файл. :(
Лишь RectorDecryptor нашел 1 зашифрованный файл из 1 400 000 файлов, но потом завис.
Я вспомнил. Шифровальщик имел имя test.exe и находился C:\Users\TaiRaise\AppData\Roaming. Там же находилась инструкция по разблокировке. Не придав особого значения(думал простой вирусняк) снес его.
Предыстория. Месяц назад компьютер стал жестко тормозить и я решил посмотреть, что у меня стоит в автозагрузке. Там был этот test.exe. В программе Everything нашел путь до этого файла test.exe. Сперва убрал его из автозагрузки, а потом удалил. Комп стал в разы быстрее запускаться.
Пару способов в голове:
1. Короче, восстановление системы вернет вирусняк на прежнее место?
2. Как-нибудь можно восстановить удаленные файлы из корзины? Если да, то мы в выигрыше.
3. Притвориться мошенником. Сыграть роль в таком же стиле. Почитать про типы шифрования и создания троянов-шифровальщиков. Написать пару троянов с таким же расширением и декодеры к каждому.
ps: eсли проанализировать описание к расшифровке, то можно сделать вывод, что мошенник, вероятно, начинающий т.к. на запрос в 500 руб рос. только нищеброд способен. А раз нищеброд, то, скорее всего, не работает нигде. Остается вариант с учебой (школа/универ). Работы нет, родители не дают денег, нужны быстрые способы заработка. Соответственно заморачиваться с шифрованием ему не пришлось, скорее всего, из-за лени. В итоге, вероятно, следует искать быстрый способ создания трояна-шифровальщика.
81 000 файлов, ааа >:(