filecoder зашифровал все в формат .725

[Vladimir77777]

Добрый день. Открыли письмо и все зашифровалось в .725
Во вложении вайлы от АВЗ а так же предпологаемое письмо от которого пошло все, 3 докуменда разных форматов с .725 и в архиве требования вымогателей.
Др.Веб ответил что не сможет победить данную заразу вся надежда на Вас !
Спасибо

[Info_bot]

Уважаемый(ая) Vladimir77777, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Vladimir77777]

Спасибо. Файлы во вложении

[mike 1]

Вас тупо сбрутили.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   File: C:\Users\admin\AppData\Roaming\Microsoft\AbiWord\AbiWord.exe
   S4 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
   S4 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X]
   Folder: C:\Users\Администратор1\Documents\cripter
   2017-04-28 11:05 - 2017-08-01 12:20 - 000000000 _____ () C:\Users\admin\AppData\Roaming\adobesystem.log

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Vladimir77777]

Все сделал, файл во вложении.
Архива не было.

по этому пути C:\Users\Администратор1\Documents\cripter лежит декриптор от другого вируса, он индию расшифровывает несколько модификаций, им удалось расшифровать несколько других компов, щас же он не сработал

[mike 1]

На данный момент GlobeImposter не поддается расшифровке, возможно у крупных вендоров вроде ЛК имеется решение, но не факт.

[Vladimir77777]

Что же теперь делать ? через форму обратной всязи требований эти вымогатели не выходят на связь... думаю нет смысла деньги кидать им ... или что посоветуйте ? dr.web не смог расшифровать тоже. А там базы 1С и прочие доки...
Заражение через почту было ?

[mike 1]

Могли почту забанить им вот и не выходят на связь.

emails used to contact bastard: [email protected] or [email protected]. [email protected]

Пробуйте на эти писать, судя по всему из одного цеха, либо купили локера.

Что же теперь делать ?

А вот резервные копии нужно делать, чтобы потом не была парализована работа всего предприятия.

Заражение через почту было ?

По RDP зашли скорее всего.