Шифровальщик [email protected] 1.3.1.0.id

[RomanNS]

Добрый день!
Злоумышленникам удалось подключиться к удаленному рабочему столу и запустить шифровальщик.
Файлы имеют имена: "[email protected] 1.3.1.0.id-IJJJLLMNNNOPPQRRSSSTUUVWWWXYYZAABBBC-09.10.2016 13@50@092419242@@@@@92C4-0AF1.randomname-BCCCIJKKKLMNOPJKLLLMN".
Пример файлов: https://yadi.sk/d/lBq4MbSEyGWDr
Помогите пожалуйста.
p.s. т.к. имеется лицензия на Kaspersky Endpoint Security, обращался в службу поддержки Лаборатории Касперского. Они с расшифровкой файлов помочь не смогли.

[Info_bot]

Уважаемый(ая) RomanNS, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

http://virusinfo.info/pravila.html

Расшифровка возможна.

http://rgho.st/private/6YQKxQ7P2/2ff...caa4efa9150fe3

[RomanNS]

Прикладываю лог AVZ и hijackthis

[mike 1]

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O20 - AppInit_DLLs: C:\ProgramData\ocep\Groovetip.dll

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
4. Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[RomanNS]

отчет AdwCleaner

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[RomanNS]

выполнил

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[RomanNS]

выполнил

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   2016-10-11 15:43 - 2016-10-11 15:43 - 00000000 ____D C:\Users\Все пользователи\s2do
   2016-10-11 15:43 - 2016-10-11 15:43 - 00000000 ____D C:\ProgramData\s2do
   2016-10-11 15:41 - 2016-10-11 15:41 - 00000000 ____D C:\Users\Все пользователи\s9k0
   2016-10-11 15:41 - 2016-10-11 15:41 - 00000000 ____D C:\Users\Все пользователи\s9es
   2016-10-11 15:41 - 2016-10-11 15:41 - 00000000 ____D C:\ProgramData\s9k0
   2016-10-11 15:41 - 2016-10-11 15:41 - 00000000 ____D C:\ProgramData\s9es
   2016-10-11 15:38 - 2016-10-11 15:38 - 00000000 ____D C:\Users\Все пользователи\s2s8
   2016-10-11 15:38 - 2016-10-11 15:38 - 00000000 ____D C:\Users\Все пользователи\s1co
   2016-10-11 15:38 - 2016-10-11 15:38 - 00000000 ____D C:\ProgramData\s2s8
   2016-10-11 15:38 - 2016-10-11 15:38 - 00000000 ____D C:\ProgramData\s1co
   2016-10-09 13:50 - 2016-10-09 14:57 - 00000095 _____ C:\Program Files (x86)\92C4-0AF1
   2016-10-09 13:49 - 2016-10-09 14:57 - 00000000 ____D C:\Users\Все пользователи\TEMP
   2016-10-09 13:49 - 2016-10-09 14:57 - 00000000 ____D C:\ProgramData\TEMP
   MSCONFIG\startupreg: 00saskda => "C:\Program Files (x86)\Security Administrator\newlock.exe" saskda
   MSCONFIG\startupreg: 1GMJDOGM5R => "C:\Program Files\AUOWU8JVIQ\AUOWU8JVI.exe"

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[RomanNS]

выполнил

[mike 1]

Скачайте дешифратор и ключ по ссылке, отправленной в личные сообщения.

<<<< ВАЖНО: >>>>

1. Все попытки расшифровки лучше предпринимать на копиях зашифрованной информации.
2. Если расшифровываете базы данных 1С версии 7, удалите предварительно все созданные при восстановлении стандартными утилитами от 1С файлы dbf и cdx
3. Предыдущий пункт в принципе касается любых незашифрованных оригиналов восстанавливаемых файлов - утилита расшифрует файл, но имя останется таким, как у зашифрованного файла

<<<< РАБОТА С ДЕШИФРАТОРОМ: >>>>

1. Разархивируйте в отдельную папку содержимое архива. Запустите дешифратор.
2. Выберите файл с ключом (задается с помощью кнопки "Мастер-ключ").
3. Во время работы дешифратора может показаться, что программа зависла. На самом деле она продолжает свою работу и трогать её не нужно, иначе она действительно может зависнуть. Также не стоит пытаться скормить ей папку (диск) с огромным количеством зашифрованных файлов.

Если что-то не расшифруется, а такое может быть, то пришлите в архиве несколько небольших зашифрованных файлов в архиве.