Зашифрованные файлы с расширением .cbf [Trojan-Ransom.Win32.Cryakl.dq, Trojan.VBS.Zapchast.bf ]

**Alex_Kazan** · 06.02.2015, 13:57

Зашифровались файлы с расширением .cbf , адрес электронной почты куда требуют обращаться для расшифровки [email protected]
прилагаю зашифрованные файлы, есть файл кодера в архиве, если нужно могу прикрепить
ссылки на зашифрованные файлы:
https://yadi.sk/d/EF7_ZXzQeW4aD
https://yadi.sk/d/MKixkFIKeW4aM
https://yadi.sk/d/HXVcJdIpeW4aR

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.02.2015, 13:58

Уважаемый(ая) Alex_Kazan, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 06.02.2015, 15:27

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\movies toolbar\datamngr\iebho.dll','');
 QuarantineFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','');
 QuarantineFile('C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll','');
 QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~2.EXE','');
 QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','');
 DeleteService('DatamngrCoordinator');
 QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll','');
 DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll','32');
 DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32');
 DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~2.EXE','32');
 DeleteFile('C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
 DeleteFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 DeleteFile('C:\Program Files\movies toolbar\datamngr\iebho.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
ExecuteRepair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

**Alex_Kazan** · 06.02.2015, 21:04

прикрепляю запрошенные логи

**thyrex** · 06.02.2015, 22:09

Папки

C:\Program Files\Adobe Flash Player
C:\Program Files\Письмо

удалите вручную

С расшифровкой не поможем

http://virusinfo.info/announcement.php?f=46&a=52

**Alex_Kazan** · 06.02.2015, 23:17

То есть это невозможно? Может нужно заплатить? Или это впринципе невозможно?

**thyrex** · 07.02.2015, 01:19

Без обращения к злодеям невозможно

**CyberHelper** · 07.02.2015, 01:29

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 18
В ходе лечения обнаружены вредоносные программы:
1. \письмо\codec.exe - Trojan-Ransom.Win32.Cryakl.dq ( AVAST4: Win32:Malware-gen )
2. \письмо\error.vbs - Trojan.VBS.Zapchast.bf