Зашифровали файлы *.cpt [Backdoor.MSIL.SpyGate.uw ]

**energy01** · 21.11.2016, 18:52

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
================================================== ================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
[email protected] или (если не получили ответа больше суток) сюда [email protected]
================================================== ==========================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
================================================== ==================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
================================================== ==================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
================================================== ==================================

УКАЗЫВАЙТЕ СВОЙ ID НОМЕР

ВАШ ID BQK_530927
========================

Не известно каким образом осуществлен взлом, юзеры зловреда не запускали, антивир drweb крутится на пк.

Очень надеюсь на Вашу помощь, заранее огромное спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.11.2016, 18:54

Уважаемый(ая) energy01, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 23.11.2016, 10:59

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**energy01** · 23.11.2016, 14:41

Приложил файлы

SQ · 23.11.2016, 15:02

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
Zip: C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe;C:\Users\Администратор\AppData\Roaming\iexplorer.exe.tmp
Startup: C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe [2016-11-14] ()
2016-11-21 01:14 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Склад\Desktop\PAROL.txt
2016-11-20 22:59 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Товаровед2\Desktop\PAROL.txt
2016-11-20 22:59 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Сергей\Desktop\PAROL.txt
2016-11-20 22:59 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Маркетолог\Desktop\PAROL.txt
2016-11-20 22:58 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Бухгалтер4\Desktop\PAROL.txt
2016-11-20 22:58 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Бухгалтер3\Desktop\PAROL.txt
2016-11-20 22:57 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Бухгалтер2\Desktop\PAROL.txt
2016-11-20 22:57 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Бухгалтер\Desktop\PAROL.txt
2016-11-20 22:57 - 2016-11-20 16:30 - 00001095 _____ C:\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Администратор\Downloads\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Администратор\Documents\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Администратор\Desktop\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Администратор\AppData\Roaming\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 00001095 _____ C:\Users\Администратор\AppData\LocalLow\PAROL.txt
2016-11-20 16:27 - 2016-11-21 01:20 - 00000237 _____ C:\Users\Администратор\AppData\Roaming\iexplorer.exe.tmp
Folder: C:\Users\Склад\WINDOWS
2016-11-20 16:27 - 2016-11-21 01:20 - 0000237 _____ () C:\Users\Администратор\AppData\Roaming\iexplorer.exe.tmp
2016-11-20 22:14 - 2016-11-20 16:30 - 0001095 _____ () C:\Users\Администратор\AppData\Roaming\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 0001095 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\PAROL.txt
2016-11-20 22:14 - 2016-11-20 16:30 - 0001095 _____ () C:\Users\Администратор\AppData\Local\PAROL.txt
MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PAROL.txt => C:\Windows\pss\PAROL.txt.Startup

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

Файл Upload.zip (вредоносное ПО) с рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**energy01** · 23.11.2016, 17:37

Приложил файл лог

SQ · 23.11.2016, 17:50

Уточните пожалуйста, зачем скопировали заархивированные файлы в Upload.zip и закачали в карантин?

Я ранее просил, прислать вредоносное ПО, которое должно было сформироваться (Upload.zip или <дата_время>.zip на рабочем столе) после выполнения фикса утилитой FRST.

В Вашем случае карантин создался по следующим названием:

Код:

C:\Users\Администратор\Desktop\23.11.2016_17.24.35.zip

Пожалуйста не в коем случае не открывайте/запускайте его , а загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**energy01** · 23.11.2016, 18:12

Прикрепил

SQ · 23.11.2016, 19:41

Найдено новое вредоносное ПО:

Код:

8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe -  Backdoor.Bladabindi.MSIL

Приложите новые логи FRST.

**energy01** · 23.11.2016, 21:30

Приложил

SQ · 23.11.2016, 23:44

Сообщение от SQ

Приложите новые логи FRST.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**energy01** · 24.11.2016, 09:17

Приложил

SQ · 24.11.2016, 13:12

С расшифровкой не поможем.

P.S. Не удаляйте каталог C:\FRST до тех пор пока не решите вопрос с расшифровкой.

**energy01** · 24.11.2016, 13:28

Спасибо большое за помощь, будем очень ждать и надеяться, что найдете способ расшифровки. Если есть возможность, подскажите вкратце каким образом произведен взлом, для дальнейшей защиты системы. Заранее спасибо.

SQ · 24.11.2016, 21:52

Сообщение от energy01

Спасибо большое за помощь, будем очень ждать и надеяться, что найдете способ расшифровки. Если есть возможность, подскажите вкратце каким образом произведен взлом, для дальнейшей защиты системы. Заранее спасибо.

На данный момент, помочь не сможем, но возможно в ближайшем будущем сможем помочь, но опять же гарантий не каких не можем дать.

**CyberHelper** · 24.11.2016, 22:02

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. \8dc7d467bc6cdc67d62a1cd4fa9a5a83.exe - Backdoor.MSIL.SpyGate.uw ( BitDefender: Gen:Variant.Kazy.715339 )

Зашифровали файлы *.cpt [Backdoor.MSIL.SpyGate.uw ] (заявка № 206079)

Опции темы