Зашифрованные как README.txt файлы

[Андрей Истомин]

Здравствуйте!

Поменялась заставка на рабочем столе -"Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы, подробности вы можете прочитать в файлах README.txt на любом из дисков."

Текст файла - "Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

Помогите, пожалуйста!

Логи прилагаю.

[Info_bot]

Уважаемый(ая) Андрей Истомин, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
  TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\Users\Юлия\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\Юлия\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
 DeleteFile('C:\Users\Юлия\AppData\Roaming\eTranslator\eTranslator.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Users\Юлия\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserslnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

[Андрей Истомин]

Спасибо!
Наше руководство, рассчитывая восстановить информацию, передало компьютер другим специалистам. Те же, тщетно попытавшись решить проблему с помощью программы восстановления жесткого диска, обратились куда-то на сайт доктора Веба, где длинная очередь, но обещают помощь именно в восстановлении информации. Поэтому я пока не могу выполнить предписанное. В любом случае спасибо за помощь!

[mike 1]

В DrWeb помочь с расшифровкой вам не смогут, а шифратор у вас еще на горячую работает, т.е. он продолжает шифровать файлы.

[Андрей Истомин]

У нас оказался зараженным один компьютер сотрудницы, который эти специалисты вывезли. На остальных компьютерах в сети, тьфу-тьфу, все в порядке... Причем еще до вывозки я по инструкции провел обследование антивирусом установленным и доктор-вебовским, и в совокупности они нашли штук 5 вирусов. Этот же вирус-шифратор, наверняка остался, но те товарищи сказали, что он им не помешает, и не стали дожидаться, пока я пройду все этапы инструкции здесь на сайте.
Добавлю от себя описание нового способа мошенничества, как именно у нас появился этот вирус. Директору на телефон позвонили с предложением бесплатно создать страничку на сайте, она передала трубочку сотруднице, которая действовала по инструкции, которую диктовали злоумышленники: завела почту на gmail и ввела код. После чего появилась данная картина, которая совпадает с другими ситуациями, о которых я здесь на сайте прочитал. Все из-за того, что народ у нас еще значительно доверчивый и наивный, и не всегда торопится перепроверять информацию.