Поймал вирус

Добрый ли ? день.
Поймал шифратор.
~xdata~' extension
[SPOILER]Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.


Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.


To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and Settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').


Then send it to one of following email addresses:


[EMAIL="[email protected]"][email protected][/EMAIL]
[EMAIL="[email protected]"][email protected][/EMAIL]
[EMAIL="[email protected]"][email protected][/EMAIL]
[EMAIL="[email protected]"][email protected][/EMAIL]
[EMAIL="[email protected]"][email protected][/EMAIL]
[EMAIL="[email protected]"][email protected][/EMAIL]

Your ID: R510#FDC6949B110703A126F1626AB5DFE64D

[/SPOILER]

Логи прилагаю.
Прошу помощи.

Уважаемый(ая) [B]MickNich[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\User\appdata\roaming\explorer.exe','');
DeleteFile('C:\Users\User\appdata\roaming\explorer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]

Сорри, с логами уже не выйдет - комп переформачен. Бухи плакали без работы...
Шифрованные файлы спас - если ключик найдется, попробую восстановить.

Источником шифрования стало обновление m.e.doc

[QUOTE=thyrex;1451326]Источником шифрования стало обновление m.e.doc[/QUOTE]

Спасибо.
Подтвердили мнение антивыря на уже свежеустановленной системе.
Он криком кричал при установке медка.
Symantec Endpoint Protection.
assistant.exe убивал напрочь.
Впрочем как и массу других вполне безопасных кейгенов и активаторов с портабл софтами.
Если не секрет - откуда инфа о медке ?

В большинстве виденных мною логов с этим шифрованием он присутствовал. Да и писали об этом пострадавшие

Добрый день еще раз.
Говорят, вышел дешифратор от ~xdata~
Не в курсе, работает ?

отвечаю сам себе - попробовал 3 утилиты.
Каспер, Аваст и Есет.
Естественно, без ключа - [COLOR=#333333][FONT=verdana][FONT=Verdana]дешифратор ищет файл ключа в следующих местах:[/FONT][/FONT][/COLOR]
[COLOR=#333333][FONT=verdana][FONT=Verdana]C:\ProgramData[/FONT][/FONT][/COLOR]
[COLOR=#333333][FONT=verdana][FONT=Verdana]%appdata%[/FONT][/FONT][/COLOR]
[COLOR=#333333][FONT=verdana][FONT=Verdana]%temp%
это всё уже снесено.
Поэтому расшифровка не удалась.
Вопрос - чужой ключ пробовать или бестолково ?[/FONT][/FONT][/COLOR]

Бесполезно

А какова логика генерения ключа ?
Типа его повторить...

Образца вируса у меня нет, чтобы что-то знать о генерации ключа