Зашифрованы все документы [email protected]_bE3gT6 [Trojan-Ransom.Win32.Rakhni.cz
]
Пришел файл по почте, был открыт, в результате все документы зашифрованы на компьютере и на сетевых дисках, зашифрованные файлы имею расширение [email protected]_bE3gT6. Процесс вируса удалось прервать через диспетчер задач, после чего папку с вирусов удалось найти по адресу C:\Users\Аня\AppData\Roaming\werrrrrrrr и упаковать.
Файл залил на файлообменник: http://gfile.ru/abnEj . Пароль на архив - virus .
Пример зашифрованного документа: http://gfile.ru/aazrT .
P.S. Автоматизированная система Касперского при отсылке вируса на их электронную почту определила вирус как "Trojan-Ransom.Win32.Rakhni.cz".
Есть ли шанс расшифровать файлы?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Ach, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\Users\Аня\AppData\Roaming\werrrrrrrr', '*.exe', true, ' ', 0, 0);
DeleteFile('C:\Users\Аня\AppData\Roaming\werrrrrrrr\lzzzzzzxxxxxx.html','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','0');
DeleteFileMask('C:\Users\Аня\AppData\Roaming\werrrrrrrr', '*', true, ' ');
DeleteDirectory('C:\Users\Аня\AppData\Roaming\werrrrrrrr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: