-
Junior Member
- Вес репутации
- 31
Здравствуйте! Помогите пожалуйста расшифровать файлы [Trojan-Ransom.Win32.Blocker.hzew, Trojan-Ransom.Win32.Shade.wf
]
Принесли компьютер. все файлы зашифрованы и имеют вид *.breaking_bad
ссылка на зашифрованные файлы: https://cloud.mail.ru/public/LzXT/kscLiG7p2
Комп пока не лечил, не хотел навредить. Я так понимаю лечить пока не нужно или уже можно?
При необходимости могу выложить ссылку на саму заразу.
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
4EE60D69E552861D5C99|0
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
4EE60D69E552861D5C99|0
to e-mail address [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
Последний раз редактировалось Crazzzy; 15.12.2015 в 17:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Crazzzy, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 31
Я так понимаю что способа расшифровки сейчас нет. Стоит ли надеяться на то что получится расшифровать в ближайшее время( неделя, месяц)
Логи Farbar Recovery Scan Tool:
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\nadine1908\AppData\Local\Algkworks\Cfgengine80.dll','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
TerminateProcessByName('c:\users\nadine~1\appdata\local\temp\6bc58b51.exe');
QuarantineFile('c:\users\nadine~1\appdata\local\temp\6bc58b51.exe','');
DeleteFile('c:\users\nadine~1\appdata\local\temp\6bc58b51.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
DeleteFile('C:\Users\nadine1908\AppData\Local\Algkworks\Cfgengine80.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UQVmedia');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Algkworks');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
-
Новые логи Farbar сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
Addition: https://cloud.mail.ru/public/EERA/BD4GKTVUP (ссылка так как ругается что места для моих вложений на форуме больше нет)
-
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-138865121-1282147118-1759892038-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
2015-12-15 14:24 - 2015-12-16 09:24 - 00000000 ____D C:\Users\nadine1908\AppData\Local\Algkworks
2015-12-15 14:23 - 2015-12-15 14:23 - 06220854 _____ C:\Users\nadine1908\AppData\Roaming\1EC1FDC61EC1FDC6.bmp
2015-12-15 14:23 - 2015-12-15 14:23 - 00000843 _____ C:\Users\nadine1908\Desktop\README1.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README9.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README8.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README7.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README6.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README5.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README4.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README3.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README2.txt
2015-12-15 12:48 - 2015-12-15 12:48 - 00000843 _____ C:\README10.txt
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
-
С расшифровкой не поможем.
-
-
Junior Member
- Вес репутации
- 31
Если пойдём на сделку с злоумышленниками расшифровщик вам пригодится или толку от него не будет?
-
Толку от него никакого. Ключи расшифровки у всех разные будут.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Shade.wf ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\nadine~1\appdata\local\temp\6bc58b51.exe - Trojan-Ransom.Win32.Blocker.hzew
- c:\users\nadine1908\appdata\local\algkworks\cfgeng ine80.dll - HEUR:Trojan.Win32.Generic
-