Цифровой кейс зашифровал документы в папках Desktop и Documents (заявка №110779)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Знакомые обратились с проблемой, как мне кажется, похожей, на ранее известный вирус-вымогатель «Цифровой сейф». После загрузки ноутбука под управлением ОС Windows Vista Home Premium оказалось, что все документы в папках Desktop и Documents зашифрованы и перемещены в скрытую папку Thumbs.ms, а вместо них остался 50-мегабайтный файл "Цифровой кейс.exe" с иконкой в виде навесного замка жёлтого цвета. При попытке запуска этого файла выдаётся окно с якобы системным сообщением о том, что «СРОК ДЕМО ВЕРСИИ ПРОГРАММЫ "ЦИФРОВОЙ КЕЙС"ЗАВЕРШЕН» с предложением купить эту программу за 900 рублей и указанием и-мэйла [email protected] и URL'ом WWW.KEYS.16MB.COM. После чего через несколько секунд грузится второе окно с полем для ввода пароля. При визите на указанный сайт обнаружено, что демо-версия программы «Цифровой кейс» для загрузки отсутствует и неизвестно, как она в таком случае официально распространяется. Для покупки предлагается перевести деньги на Яндекс-кошелёк. Предполагаю, что пользователь случайно заразил компьютер открыв вложение электронного письма от незнакомого ему адресата. Поскольку всю не интересующую его почту он сразу удаляет, это письмо, повидимому, уже недоступно. Есть ли возможность создать дешифратор на основе иемеющегося файла "Цифровой кейс.exe"?
Дата обращения: 16.09.2011 16:58:15
Номер заявки: 110779

[CyberHelper]

16.09.2011 17:50:04 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\\Windows\\system32\\CLNT.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 100248 байт
   • дата файла: 14.09.2011 12:48:04
   • версия: "7.14.2.2228"
   • детект других антивирусов: BitDefender: Зловред Gen:Trojan.Heur.gm1fdvAoTJii
2. C:\\Users\\TOSHIBA\\AppData\\Local\\Temp\\_uninst_ 01267002.bat - подозрительный, обрабатывается вирлабом
   
   • размер: 372 байт
   • дата файла: 16.09.2011 17:14:06
3. C:\\Users\\All Users\\7-zip\\7zip.exe - Trojan.Win32.VBKrypt.geap
   
   • размер: 143360 байт
   • дата файла: 09.09.2011 9:01:38
   • версия: "4.57"
   • копирайты: "Copyright (c) 1999-2007 Igor Pavlov"
4. C:\\Program Files\\TOSHIBA\\FlashCards\\Hotkey\\FnF8Dll.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 286720 байт
   • дата файла: 29.09.2008 15:57:26
   • версия: "1, 1, 32, 8"
   • копирайты: "Copyright (C) 2006-2008 TOSHIBA"
5. C:\\Program Files\\TOSHIBA\\Power Saver\\TtosFunc.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 208896 байт
   • дата файла: 04.11.2008 16:11:14
   • версия: "1.0.0.3"
   • копирайты: "Copyright (C) 2006-2008 TOSHIBA Corporation. All rights reserved."

[CyberHelper]

19.09.2011 15:28:30 лечение успешно завершено