Все файлы зашифрованы

Printable View

04.02.2016, 17:34
Алексей Коточигов

Вложений: 3

Все файлы зашифрованы

Добрый вечер, прошу помочь мне в нелегкой проблеме, зашифровались файлы на ноуте, в каждой папке лежит текстовый документ вот с таким содержанием:

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

--------------------------------------------------------------

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут [url]https://www.torproject.org/download/download-easy.html.en[/url]
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=f86d3805&HashID=66735269cbdc6d7a4de774dad9edf3d3' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

ID: f86d3805
HashID: 66735269cbdc6d7a4de774dad9edf3d3

--------------------------------------------------------------

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

--------------------------------------------------------------

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов:
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

--------------------------------------------------------------

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
[url]https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard[/url]

Пробовал связатся, но либо сайт их лежит либо я до него достучатся не могу.
Во вложении примеры зашифрованных файлов.
Жду дальнейших указаний, готов на все)))
Заранее спасибо
04.02.2016, 17:36
Info_bot

Уважаемый(ая) [B]Алексей Коточигов[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.02.2016, 23:41
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
QuarantineFile('C:\Users\Михаил и Люда\AppData\Roaming\WindowsUpdater\Updater.exe','');
QuarantineFile('C:\Users\4EA4~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Михаил и Люда\AppData\Roaming\Browsers\exe.resworb.bat','');
DeleteFile('C:\Users\Михаил и Люда\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\4EA4~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Dealply.job','32');
DeleteFile('C:\Windows\system32\Tasks\Dealply','64');
DeleteFile('C:\Users\Михаил и Люда\AppData\Roaming\WindowsUpdater\Updater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
06.02.2016, 12:17
Алексей Коточигов

Вложений: 1

Вроде все правильно сделал
07.02.2016, 12:24
thyrex

Новые логи по правилам где?

+ Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]

3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.
07.02.2016, 13:13
Алексей Коточигов

Вложений: 1

Пожалуйста
07.02.2016, 13:30
thyrex

Катастрофические проблемы с чтением
[quote="thyrex;1356513"]Новые логи по правилам где?[/quote]
07.02.2016, 13:54
Алексей Коточигов

Эти?
08.02.2016, 19:36
thyrex

Неужели трудно повторить действия, которые Вы выполняли перед созданием темы?
17.02.2016, 21:15
Алексей Коточигов

Вложений: 1

держите вроде все правильно сделал
18.02.2016, 20:39
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
19.02.2016, 16:57
Алексей Коточигов

Вложений: 1

держите
20.02.2016, 13:37
thyrex

Удалите в МВАМ все, [B]кроме[/B]
[CODE]RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\1200_Patch.exe, , [8ba0c1a125742412beb51945a060cf31],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\19200_Patch.exe, , [89a2ef735643ae8813601549bc4411ef],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\2400_Patch.exe, , [f13af27081180c2a086be17d1be5d52b],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\38400_Patch.exe, , [a883fb6726739c9a185bdc8238c8c63a],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\4800_Patch.exe, , [d75475ede0b9c86ee1924d11d12f27d9],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\57600_Patch.exe, , [3fec273bd2c7171f86ede17df9070000],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\600_Patch.exe, , [5ad184deaced280e274cd28c9a6632ce],
RiskWare.Tool.CK, D:\кино\Navitel.Navigator.s.navigacionnoj.kartoj.Rossija.2012.PDA\Navitel_5.1.0.97\UNIVERSAL\Change_Navitel_Speed\9600_Patch.exe, , [d358560c7c1dd2642f4485d906fa1de3],
PUP.Optional.InstallCore, C:\Users\Михаил и Люда\AppData\Roaming\0D0S1L2Z1P1B\Zip Extractor Packages\uninstaller.exe, , [71ba64fe1d7c96a09a7ae66710f1a35d],
[/CODE]
23.02.2016, 01:24
Алексей Коточигов

Вложений: 1

все сделал как просили, высылаю новый лог МБАМ
23.02.2016, 23:28
thyrex

Вложений: 1

[b][color=#FF0000]Внимание![/color][/b] Данный дешифратор предназначен только для пользователя [b]Алексей Коточигов[/b]

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим [COLOR="#FF0000"][B]не рекомендуется[/B][/COLOR].

1. Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
2. [url=https://yadi.sk/d/C3BvfaUan5XG2]Дешифратор[/url]

Принцип работы с дешифратором:
1. Сохраните дешифратор в отдельно созданную папку.
2. Сохраните прикрепленное вложение в папку с дешифратором.
3. Распакуйте архив с ключом.
4. Запустите дешифратор и дождитесь окончания его работы.