Файлы зашифрованы Trojan.Encoder.5342

Взломали по 3389 порту. Зашифровали все файлы пользователей и даже архивы баз. Прилагаю три файла. Инфо файл от вымогателей. 1 и 2 зараженные файлы. Каспер и Др веб отказались в связи с невозможностью расшифровки.



Списался с вымогателями, расшифровали выборочно два файла, но просят 2500 евро( вот расшифрованный [url]https://cloud.mail.ru/public/KeU6/ySfuCi2ub[/url] и зашифрованный [url]https://cloud.mail.ru/public/6Q9K/jaFEn9a3y[/url] для примера.

Уважаемый(ая) [B]Dimension[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Если это RotorCrypt, расшифровки нет.

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи.[/URL]

Вот логи.
[url]https://cloud.mail.ru/public/8qDW/kq3SWadfE[/url]

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

[QUOTE=SQ;1490328]- Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL] [IMG]http://i.imgur.com/NAAC5Ba.png[/IMG] и сохраните на Рабочем столе.

[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[LIST][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.[*]Убедитесь, что в окне [B]Optional Scan[/B] отмечены [I]"List BCD"[/I] и [I]"Driver MD5"[/I].
[IMG]http://i.imgur.com/B92LqRQ.png[/IMG][*]Нажмите кнопку [B]Scan[/B].[*]После окончания сканирования будет создан отчет ([B]FRST.txt[/B]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([B]Addition.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.[/LIST]
[/QUOTE]



[url]https://cloud.mail.ru/public/GRox/rKYeRMtzw[/url]

В логах ничего вирусного не замечено.

Если хотите зачистить мусор, то выполните следующее:


[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
HKLM\...\Command Processor: <==== ATTENTION
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
File: C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
File: C:\Program Files\TeamViewer\TeamViewer_Service.exe
2018-10-10 09:47 - 2018-10-10 09:47 - 000000176 _____ C:\Documents and Settings\Тамара\Local Settings\Application Data\INFO.txt
2018-10-10 09:18 - 2018-10-10 09:18 - 000000176 _____ C:\Documents and Settings\Склад\Рабочий стол\INFO.txt
2018-10-10 09:06 - 2018-10-10 09:06 - 000000176 _____ C:\Documents and Settings\Склад\Local Settings\Application Data\INFO.txt
2018-10-10 08:42 - 2018-10-10 08:42 - 000000176 _____ C:\Documents and Settings\Новосиб\Local Settings\Application Data\INFO.txt
2018-10-10 08:40 - 2018-10-10 08:40 - 000000176 _____ C:\Documents and Settings\Наталья\Local Settings\Application Data\INFO.txt
2018-10-10 08:38 - 2018-10-10 08:38 - 000000176 _____ C:\Documents and Settings\Исупов\Local Settings\Application Data\INFO.txt
2018-10-10 08:31 - 2018-10-10 08:31 - 000000176 _____ C:\Documents and Settings\Индира\Local Settings\Application Data\INFO.txt
2018-10-10 08:30 - 2018-10-10 08:30 - 000000176 _____ C:\Documents and Settings\Игорь\Local Settings\Application Data\INFO.txt
2018-10-10 08:28 - 2018-10-10 08:28 - 000000176 _____ C:\Documents and Settings\ЕленаАналитик\Local Settings\Application Data\INFO.txt
2018-10-10 08:28 - 2018-10-10 08:28 - 000000176 _____ C:\Documents and Settings\Директор\Local Settings\Application Data\INFO.txt
2018-10-10 08:27 - 2018-10-10 08:27 - 000000176 _____ C:\Documents and Settings\Елена\Local Settings\Application Data\INFO.txt
2018-10-10 08:25 - 2018-10-10 08:25 - 000000176 _____ C:\Documents and Settings\ГлБухгалтер\Мои документы\INFO.txt
2018-10-10 08:23 - 2018-10-10 08:23 - 000000176 _____ C:\Documents and Settings\ГлБухгалтер\Local Settings\Application Data\INFO.txt
2018-10-10 08:01 - 2018-10-10 08:01 - 000000176 _____ C:\Documents and Settings\Бухгалтер\Мои документы\INFO.txt
2018-10-10 07:59 - 2018-10-10 07:59 - 000000176 _____ C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\INFO.txt
2018-10-10 05:50 - 2018-10-10 05:50 - 000000176 _____ C:\Documents and Settings\Администратор\Мои документы\INFO.txt
2018-10-10 05:44 - 2018-10-10 05:44 - 000000176 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\INFO.txt
2018-10-10 05:40 - 2018-10-10 05:40 - 000000176 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\INFO.txt
2018-10-10 05:38 - 2018-10-10 05:38 - 000000176 _____ C:\Documents and Settings\Dimarik\Local Settings\Application Data\INFO.txt
2018-10-10 05:37 - 2018-10-10 05:37 - 000000176 _____ C:\Documents and Settings\Екатерина\Local Settings\Application Data\INFO.txt
2018-10-10 04:19 - 2018-10-10 04:19 - 000000176 _____ C:\INFO.txt
File: C:\Documents and Settings\Екатерина\Рабочий стол\win_pro.exe
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b].[/LIST]

[QUOTE=SQ;1490336]В логах ничего вирусного не замечено.

Если хотите зачистить мусор, то выполните следующее:


[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [B]fixlist.txt[/B] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
HKLM\...\Command Processor: <==== ATTENTION
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
File: C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
File: C:\Program Files\TeamViewer\TeamViewer_Service.exe
2018-10-10 09:47 - 2018-10-10 09:47 - 000000176 _____ C:\Documents and Settings\Тамара\Local Settings\Application Data\INFO.txt
2018-10-10 09:18 - 2018-10-10 09:18 - 000000176 _____ C:\Documents and Settings\Склад\Рабочий стол\INFO.txt
2018-10-10 09:06 - 2018-10-10 09:06 - 000000176 _____ C:\Documents and Settings\Склад\Local Settings\Application Data\INFO.txt
2018-10-10 08:42 - 2018-10-10 08:42 - 000000176 _____ C:\Documents and Settings\Новосиб\Local Settings\Application Data\INFO.txt
2018-10-10 08:40 - 2018-10-10 08:40 - 000000176 _____ C:\Documents and Settings\Наталья\Local Settings\Application Data\INFO.txt
2018-10-10 08:38 - 2018-10-10 08:38 - 000000176 _____ C:\Documents and Settings\Исупов\Local Settings\Application Data\INFO.txt
2018-10-10 08:31 - 2018-10-10 08:31 - 000000176 _____ C:\Documents and Settings\Индира\Local Settings\Application Data\INFO.txt
2018-10-10 08:30 - 2018-10-10 08:30 - 000000176 _____ C:\Documents and Settings\Игорь\Local Settings\Application Data\INFO.txt
2018-10-10 08:28 - 2018-10-10 08:28 - 000000176 _____ C:\Documents and Settings\ЕленаАналитик\Local Settings\Application Data\INFO.txt
2018-10-10 08:28 - 2018-10-10 08:28 - 000000176 _____ C:\Documents and Settings\Директор\Local Settings\Application Data\INFO.txt
2018-10-10 08:27 - 2018-10-10 08:27 - 000000176 _____ C:\Documents and Settings\Елена\Local Settings\Application Data\INFO.txt
2018-10-10 08:25 - 2018-10-10 08:25 - 000000176 _____ C:\Documents and Settings\ГлБухгалтер\Мои документы\INFO.txt
2018-10-10 08:23 - 2018-10-10 08:23 - 000000176 _____ C:\Documents and Settings\ГлБухгалтер\Local Settings\Application Data\INFO.txt
2018-10-10 08:01 - 2018-10-10 08:01 - 000000176 _____ C:\Documents and Settings\Бухгалтер\Мои документы\INFO.txt
2018-10-10 07:59 - 2018-10-10 07:59 - 000000176 _____ C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\INFO.txt
2018-10-10 05:50 - 2018-10-10 05:50 - 000000176 _____ C:\Documents and Settings\Администратор\Мои документы\INFO.txt
2018-10-10 05:44 - 2018-10-10 05:44 - 000000176 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\INFO.txt
2018-10-10 05:40 - 2018-10-10 05:40 - 000000176 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\INFO.txt
2018-10-10 05:38 - 2018-10-10 05:38 - 000000176 _____ C:\Documents and Settings\Dimarik\Local Settings\Application Data\INFO.txt
2018-10-10 05:37 - 2018-10-10 05:37 - 000000176 _____ C:\Documents and Settings\Екатерина\Local Settings\Application Data\INFO.txt
2018-10-10 04:19 - 2018-10-10 04:19 - 000000176 _____ C:\INFO.txt
File: C:\Documents and Settings\Екатерина\Рабочий стол\win_pro.exe
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [B]Fix[/B] и подождите.[*] Программа создаст лог-файл [B](Fixlog.txt)[/B]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [B]перезагружен[/B].[/LIST]
[/QUOTE]
[url]https://cloud.mail.ru/public/MTVM/GJNEjAj35[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Файлы зашифрованные все потеряны?

[QUOTE=Dimension;1490337]
Файлы зашифрованные все потеряны?[/QUOTE]

Если пологаться на расширение !@#$%^&-()_+.1C то это вид шифровальщика RotorCrypt. К сожалению на текущий момент у нас нет решения по расшифровки.

P.S. Возможно будеть в ближайщем будущем, но опять же никто не может гарантировать.