Шифровальщик Вымогатель [email protected] [Trojan-Ransom.Win32.Crypren.pfa, HEUR:Trojan.Win32.Generic ]

[sysadm]

Доброго времени суток!!
Шифровальщик Вымогатель
Зашифровал все фото файлы и документы Office
заменил картинку рабочего стола на требование заплатить за расшифровку (автор сообщения явно юморист)
Первичная зачистка системы выявило [удалено] (тело вируса прилагаю- расширение файла поменять на rar)
312.exe - сидел в авто загрузчике и шифровал файлы
3feaf.exe- что делал он не выявил

пока даже представить не могу как расшифровать данные- на компе "вся жизнь"
Спасибо! Пожалуйста!

[Info_bot]

Уважаемый(ая) sysadm, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Какое расширение стало у файлов?

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\VKlimina\Главное меню\Программы\Автозагрузка\312.123','');
 DeleteFile('C:\Documents and Settings\VKlimina\Главное меню\Программы\Автозагрузка\312.123','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог gmer

[sysadm]

Расширение файлов стало - "имя файла[email protected]_X50"
сейчас дело даже не влечении, вирус сам выявлен вроде ,
Сейчас проблема как расшифровать файлы! Это вот бедапечаль
Прилагаю два зашифрованных файла
Gmer ещё сканирует (и чувствую эт надолго)

[thyrex]

Дождемся лога gmer

Расшифровать пока не получится. Дешифратором для данной модификации пока никто не поделился

[sysadm]

Служба поддержки DrWeb пришла на помощь
и предоставила дешифратор
Вот их ответ:
"Спасибо за предоставленную информацию, троян был в архиве.
Для частичного восстановления файлов можно запустить
ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe с параметрами командной
строки -k h15 -e [email protected]_X50

С уважением, Александр Негородов.
Служба технической поддержки компании "Доктор Веб"."

пробую дешифровать
. По результатам отпищусь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\vklimina\\главное меню\\программы\\автозагрузка\\312.123 - Trojan-Ransom.Win32.Crypren.pfa ( BitDefender: Trojan.Generic.9415761, AVAST4: Win32:Malware-gen )
  2. \\vir\\3feaf.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:Malware-gen )
  3. \\vir\\312.exe - Trojan-Ransom.Win32.Crypren.pfa ( BitDefender: Trojan.Generic.9415761, AVAST4: Win32:Malware-gen )