Trojan.Encoder.94 все файлы с расширением .sos

[Виталий Полунин]

прилетело на сервер
99% подобрали пароль по RDP
зашифровались практически все файлы 1с8, doc и даже *.lnk
требуют денег
текст такой
__________________________________________________ ___________________________________________
Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] для получения дальнейших инструкций.
Среднее время ответа специалиста 1-5 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
__________________________________________________ ___________________________________________
это сам вирус
кстати сидит в автозагрузке
[удалено]
этот файл лежит в каждой папке
http://zalil.ru/34727606
оригинал и зашифрованный файл (обычный readme)
http://zalil.ru/34727618

еще один зашифрованный архив
http://zalil.ru/34727624
и картинка bmp шифрованная и нет
http://zalil.ru/34727626

если надо что-то еще обязательно прикреплю

[Info_bot]

Уважаемый(ая) Виталий Полунин, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[Виталий Полунин]

рассказываю как решил проблему
1 нашел сам шифровальщик "случайное имя файла.exe" лежал в папке temp
2) скормил его он-лайн проверке на вирусы
3) узнал что это Trojan.Encoder.94
4) нашел решение на сайте drweb для этого шифровальщика
te94decrypt.exe легко гуглится
но для этой програмки нужен еще специфический ключ !!!!!!!!!!!!для каждого случая свой!!!!!!!!!
чужие не подходят и убьют инфу 100%
но решение не окончательное
нужно было отправлять им логи, файлы, номер лицензии и.т.д. в течении 3-х дней ответят какой ключ надо использовать
но так как времени как обычно нет
5) выбрал зашифрованный файл который раньше был *.jpg на тот момент он имел вид *.jpg.SOS
скопировал на не зараженную машину в одну папку
te94decrypt.exe
*.jpg.sos
и прямо в проводнике перетащил *.jpg.sos на te94decrypt.exe
te94decrypt.exe ругнулся что нет ключа но попробовал расшифровать...
создал штук 300-400 файлов (с различными расширениями типа *.jpg.sos.xxx) и выдал что скорее всего подходит 380 !!!! Для каждого случая свой!!!!
переименовал свежесозданный файл *.jpg.sos.380 в *.jpg
и о чудо он открыля целый и невредимый
проверил еще на нескольких файлах
ну и соответственно создал ярлык для te94decrypt.exe в той-же папке и добавил ключ -k 380
380 и есть нужный ключ шифрования Повторюсь Для каждого свой!!!!
а вообще добрый совет делайте архивы важных данных на соседние машины.
всем удачи....
если поможет хоть одному человеку значит не зря старался писал,
т.к. меня эта ситуация поставила в первое время в тупик....