Зашифровали данные. Relock@qq_com. помогите расшифровать.

[rosi-st]

имя файла_расширение_.relock@qq_com

касперский лицензионный


Даже файлы rar и zip.

Текст сообщения
Друзья.
Я хитрожопый троян вымогатель, зашифровал все ваши драгоценные файлы. Если хотите получить свои файлы и базы обратно напишите моему хозяину.

Стоимость расшифровки 25000 рублей.
Наша почта [email protected]

Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно будет и у вас.

______12.xls это зашифрованный фаил.
Таких очень много.
не только xls.
пароль не просит.
Сегодня поднял БД 1с 8.2.
Переименовал 1cv8.cf.relock@qq_com в 1cv8.cf, Когда запустил 1cv8 создалась копия 1cv8.cf.relock@qq_com.

Запустил 1с выгрузил БД в dt и после загрузил в пустую БД. База ожила.

Но все остальное включая rar зашифровано. Помогите пожалусто.
Какая информация вам еще нужна что бы вы мне помогли?

[Info_bot]

Уважаемый(ая) rosi-st, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
 SetAVZGuardStatus(true);
 ClearQuarantine;   
 QuarantineFile('c:\program files\ss\safesurf.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\index.bat','');
 DeleteFile('C:\Program Files\Internet Explorer\index.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','newUserProfile');
 BC_ImportALL;   
 ExecuteSysClean;
BC_Activate;  
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы



Сделайте новые логи AVZ

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[rosi-st]

Хорошо делаю.

- - - Добавлено - - -

сделал avz и hijackthis
Malwarebytes' Anti-Malware еще делается

- - - Добавлено - - -

вот второй файл MBAM

[mike 1]

Проверьте пока что этот файл

Проверьте эти файлы на virustotal

Код:

C:\WINDOWS\svchost.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[thyrex]

Удалите в МВАМ все, кроме

Код:

C:\WINDOWS\svchost.exe (Trojan.Agent) -> 1532 -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Мои документы\Downloads\microsoft-windows-7-starter-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Мои документы\Downloads\microsoft_windows_7_starter.exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Мои документы\Downloads\PDFCreatorSetup.exe (PUP.Optional.Bundle) -> Действие не было предпринято.
C:\Documents and Settings\Оператор2\Рабочий стол\ImageEditorSetup.exe (PUP.Optional.Installcore) -> Действие не было предпринято.
C:\Documents and Settings\Семенова\Мои документы\Downloads\Zemra_patched_194.exe (Backdoor.Agent) -> Действие не было предпринято.
D:\Distr\The Bat! Professional 5.8.2 Final\Лекарство\KEYGEN.exe (Malware.Packer) -> Действие не было предпринято.
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Глущенко\Local Settings\Application Data\Rambler\RamblerUpdater\rupdate_standalone.exe (PUP.Optional.Rambler.A) -> Действие не было предпринято.

[rosi-st]

Проверил этот файл svhost на virustotal

https://www.virustotal.com/ru/file/5...is/1394472534/

Исправил фаил MBAM

- - - Добавлено - - -

Троян зашифровал данные(файлы). необходимо расшифровать их. Помогите.

[thyrex]

Проверил этот файл svhost на virustotal

Точно проверяли файл из папки C:\Windows, а не C:\Windows\system32?

Исправил фаил MBAM

И в чем смысл исправленного, если я просил удалить все записи, кроме указанных?

[rosi-st]

точно c:\windows\svhost.exe

немножко непонял поставленной задачи. сейчас буду исправлять.

Файлы зашифрованы. Исправил MBAM

[thyrex]

Вы бы перешли по ссылке и удалили файлы в МВАМ, а не из лога

[mike 1]

А зачем в отчет MBAM нужно было копировать строчки из 6 сообщения?

Файл c:\windows\svhost.exe вы на Virustotal проверили?

[thyrex]

mike 1, Вы бы сообщение №7 прочли )))

[mike 1]

mike 1, Вы бы сообщение №7 прочли )))

offtop

не заметил

Скрыть

[rosi-st]

я скачал свой залитый до этого фаил. открыл. удалил все что вы мне сказали и перезалил фаил...
Да я проверял перейдя по ссылке которую вы мне дали фаил svhost.exe из папки windows а не systm32.
выполняю все по тем требованиям которые вы мне пишите. Признаю себя лузером Но выполняю все в точности как вы мне пишите.

- - - Добавлено - - -

ТЕ мне еще раз запустить MBAM И там при создании файла отчета удалить строчки?

[mike 1]

ТЕ мне еще раз запустить MBAM И там при создании файла отчета удалить строчки?

Удалите все строчки в MBAM кроме указанных в шестом сообщении.

[rosi-st]

Понял делаю новое сканирование.

[mike 1]

+ Выложите зашифрованный doc файл в архиве.

[rosi-st]

Обязательно....

MBAM отчет, только он предложил перезагрузиться Это надо?

- - - Добавлено - - -

Файлы зашифрованы троянцем семейства Encoder ТЕ это он самый.

- - - Добавлено - - -

Что дальше 25 тр платить?

- - - Добавлено - - -

Что дальше то?

[mike 1]

Лог в порядке. Пробуйте http://download.geo.drweb.com/pub/dr...225decrypt.exe

[rosi-st]

Пробовал непомогло!!!

- - - Добавлено - - -

Если dr web запустил этого трояна то утром в 10-00 покупаю их лицензыю с кодом их продукта ... Неуж то они помогут?

- - - Добавлено - - -

лицензию