Пожалуйста, помогите расшифровать файлы !!!

[Dee]

Здравствуйте ! Сегодня обнаружил, что все файлы компании оказались в зашифрованном виде, точнее у всех файлов странная приписка в расширении, например: Мой компьютер.lnk.id-{CJPUBGLQUZEJOTYDINRWBGLQVAFKOTYDINSX-21.01.2015 5@01@184698794}[email protected]
Поискав информацию о способе лечения, наткнулся на подобную проблему, поэтому сразу подготовил файл при помощи Universal Virus Sniffer (uVS) и прикрепил его к теме.

Очень надеюсь на Вашу помощь !

[Info_bot]

Уважаемый(ая) Dee, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Пароли от RDP, через который к Вам попали, смените

http://virusinfo.info/pravila.html выполните

[Dee]

Разумеется сменю, в данный момент сервер вообще отключен от сети и ни одна служба не запускается.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','');
 TerminateProcessByName('c:\program files\1\explorer[1].exe');
 QuarantineFile('c:\program files\1\explorer[1].exe','');
 DeleteFile('c:\program files\1\explorer[1].exe','32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузите вручную.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Dee]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','');
 TerminateProcessByName('c:\program files\1\explorer[1].exe');
 QuarantineFile('c:\program files\1\explorer[1].exe','');
 DeleteFile('c:\program files\1\explorer[1].exe','32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузите вручную.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

Скрипт выполнил, компьютер перезагрузил, сделал лог полного сканирования MBAM, а также 2 лога программой RSIT.
Карантин с файлом-паразитом выслал.
Мои дальнейшие действия ????

Так понимаю, попался сетевой червь Win32.Parite.B
Удалить его вроде не составляет труда, а вот как бороться с последствиями шифровальщика Trojan-Ransom.Win32.Cryakl. Есть несколько бекапов оригинальных файлов. По ходу всего файла присутствуют шифрованные участки, а также хвостовой код. Попробовал RannohDecryptor 1.8.0.0., но при указании 2-х файлов (один зашифрованный, другой оригинальный) программа ругается на разный размер файлов и отказывается продолжать работу.

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Registry Keys: 1
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, , [f8474cf1631992a459f9b1afa5607987], 

Files: 11
Malware.Packer.95, C:\1C\EROS\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [3f001528d5a742f43dac26e07e83b14f], 
Malware.Packer.95, C:\1C\EROS_05012015\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [f44b69d4c7b52b0bfced8581f30e916f], 
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\TNODUP.exe, , [ac935de0d9a353e32b279dc317eea759], 
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\uninst-tnod.exe, , [f8474cf1631992a459f9b1afa5607987], 
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Local Settings\Temp\ESET\TNOD.exe, , [a49b003df88440f67ed43b250cf943bd],

[Dee]

Поместите в карантин МВАМ всё, кроме

Код:

Registry Keys: 1
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, , [f8474cf1631992a459f9b1afa5607987], 

Files: 11
Malware.Packer.95, C:\1C\EROS\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [3f001528d5a742f43dac26e07e83b14f], 
Malware.Packer.95, C:\1C\EROS_05012015\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [f44b69d4c7b52b0bfced8581f30e916f], 
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\TNODUP.exe, , [ac935de0d9a353e32b279dc317eea759], 
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\uninst-tnod.exe, , [f8474cf1631992a459f9b1afa5607987], 
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Local Settings\Temp\ESET\TNOD.exe, , [a49b003df88440f67ed43b250cf943bd],

Уже пробовал, вирус после перезагрузки перескакивает в другой файл. Удалял ветку реестра в безопасном режиме, но после перезапуска ситуация повторялась.
Сейчас запустился с загрузочного диска Kaspersky Rescue Disk 10 и он удаляет вирус во всех файлах... но не верю, что рескью сможешь восстановить частично зашифрованные файлы. По содержанию зашифрованного файла (несколько байт зашифровано, затем в случайном порядке 2 небольших зашифрованных участка, а в конце специфическая информация шифровальщика) на сайте Касперского заявляют, что расшифровать не представляется возможности.

[thyrex]

расшифровать не представляется возможности

Так и есть

А KRD похоже лечит файловый вирус Parite вдобавок

[Dee]

Так и есть

А KRD похоже лечит файловый вирус Parite вдобавок

Да, KRD натравил на червя, но это не самое страшное. Самое главное - потеря информации.
На форумах пишут, что DrWeb имеет все средства для дешифровки, но предоставляет помощь только лицензионным пользователям продуктов Dr.Web.
Как-то странно, тем самым они (сотрудники, которые должны бороться с подобными ситуациями) поощряют оплату "работы" создателям вредоносного софта.

[thyrex]

Все вопросы к DrWeb

[Dee]

Все вопросы к DrWeb

У них даже на сайте сказано, что не могут гарантировать дешифровку файлов. А за лицензию всё равно заплати. И к чему тогда такая поддержка ??? Вот если бы они взяли архив с нормальными+зашифрованными файлами, попробовали декодировать, вроде как подобрали, попробовали бы декодировать несколько файлов без оригинальных. И вот тогда, при положительном ответе начали разговор о лицензии, всеми руками "за"...
А так, отдавать деньги за "кота в мешке".

[thyrex]

Почитайте на досуге http://virusinfo.info/showthread.php?t=169935 и http://virusinfo.info/showthread.php?t=173199
Потом и поймете, насколько все бессмысленно в плане перебора

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены