Зашифрованы файлы. *.crypto [Trojan-Ransom.Win32.Blocker.dmkp ]

[Oleg_L]

Здравствуйте.
Мой компьютер пострадал от вируса. Файлы зашифрованы.
Везде лежит файл "KOD_RAZBLOKIROVKI.txt", а в нем:

ВНИМАНИЕ!!!
Ваш идентификатор (ID): bbs963844

Все важные файлы на вашем компьютере зашированны.
Расшифровка средствами антивирусных компаний невозможна.

Попытки восстановить файлы сторонним утилитами могут привести к необратимому повреждению структуры файла. Прежде чем эксперементировать сделайте копии.

Если зашифрованная информация представляет для вас ценность свяжитесь с нами по почте: [email protected] и мы сообщим вам как получить ключ расшифровки.

Проверяйте папку "Спам" сообщения от нас могут попасть туда.
В случае если вы долго не получаете ответа или предидущий емэйл не доступен свяжитесь с нами по запасному: [email protected]

Антивирус Symantec удалил тело вируса.
XoristDecryptor не нашел файлов для расшифровки.
RectorDecryptor начал расшифровывать файлы, но они не открываются. Сейчас на жестком диске лежать зашифрованные файлы с расширением .crypto и не открывающиеся типа расшифрованные.
DrWEB Curelt не нашел вирусов.

С нетерпением жду помощи.

[Info_bot]

Уважаемый(ая) Oleg_L, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Oleg_L]

Часть зашифрованных файлов, которые мне точно не нужны уже удалил. Но осталась почти полная копия на внешнем жестком диске, которая была сделана сразу после атаки вируса.
Если понадобится, могу подобрать пару Исходный - Зашифрованный файл. Часть оригинальных файлов можно найти на рабочем компьютере.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Mozilla\tifqkge.exe','');
 QuarantineFile('C:\Users\2EC4~1\AppData\Local\Temp\~tmp317467014446055402.tmp','');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 QuarantineFile('C:\Users\Багирочка\Desktop\ProcessExplorer\notepad.exe','');
 QuarantineFile('C:\Users\Багирочка\AppData\Roaming\taskhost.exe','');
 QuarantineFile('C:\Users\Багирочка\AppData\Roaming\Pqsyr.exe','');
 QuarantineFile('C:\Users\Багирочка\AppData\Roaming\CMedia\CMedia.dll','');
 QuarantineFile('C:\Users\Багирочка\AppData\Local\Google\Update\gupdate.exe','');
 QuarantineFile('C:\Users\2EC4~1\AppData\Local\Temp\E285.tmp.exe','');
 DeleteFile('C:\Users\2EC4~1\AppData\Local\Temp\E285.tmp.exe','32');
 DeleteFile('C:\Users\Багирочка\AppData\Roaming\Pqsyr.exe','32');
 DeleteFile('C:\Users\Багирочка\AppData\Roaming\taskhost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RedSHDrv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftUpdate');
 DeleteFile('C:\Users\2EC4~1\AppData\Local\Temp\~tmp317467014446055402.tmp','32');
 DeleteFile('C:\Windows\Tasks\sam6vno6.job','64');
 DeleteFile('C:\ProgramData\Mozilla\tifqkge.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\jceuovf','64');
 DeleteFile('C:\Windows\system32\Tasks\sam6vno6','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Oleg_L]

Выполнил скрипт и закачал карантин:
Результат загрузки
Файл сохранён как 140205_153929_virus_52f25b31a7e12.zip
Размер файла 774685
MD5 07ffb9a1cd2ea2cb26cf9cb56c6d1b00
Файл закачан, спасибо!

Только скрипт смог добавить в карантин только два файла:
C:\Users\Багирочка\Desktop\ProcessExplorer\notepad .exe
C:\Users\Багирочка\AppData\Roaming\Pqsyr.exe

notepad.exe - Это Process Explorer. Просто когда вирус шифровал файлы, походе диспетчер задач и аналогичные ПО были блокированы, так как не запускались. Вот я и переименовал в notepad.exe. После переименования Process Explorer запустился и сейчас стоит в автозапуске, чтобы быть уже запущенным, если вирус снова объявится.

Сейчас сделаю новые логи и приложу.

- - - Добавлено - - -

Прикладываю новые логи.
Полное сканирование MBAM в процессе. Как закончится приложу. Возможно долго будет, тогда на ночь комп оставлю.

[Oleg_L]

Вот лог полного сканирования МВАМ.

- - - Добавлено - - -

Сегодня МВАМ выдала мне сообщение, что предотвращена попытка доступа к вредоносному сайту 94.185.80.41. Обратился процесс svchost.exe сразу после включения ПК. Что это может быть?

[thyrex]

Удалите в МВАМ все, кроме

Код:

E:\AutoCAD\Autodesk_AutoCAD_2013_SP1.1_ru-en_x86-x64\Crack\xf-adsk2013_x32.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
E:\AutoCAD\Autodesk_AutoCAD_2013_SP1.1_ru-en_x86-x64\Crack\xf-adsk2013_x64.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

[Oleg_L]

Все сделал, прикрепляю новый отчет.

На сайте Доктора Вэба появилась утилита для расшифровки некоторых файлов. Написано вот на этой странице. Только где скачать эту утилиту, я не нашел.

[thyrex]

Только где скачать эту утилиту, я не нашел.

Увы, об этом могут сказать только в их техподдержке и то только лицензионным пользователям

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\багирочка\appdata\roaming\pqsyr.exe - Trojan-Ransom.Win32.Blocker.dmkp ( DrWEB: Trojan.Inject1.35691, BitDefender: Trojan.GenericKD.1517638, AVAST4: Win32:Agent-ASRN [Trj] )