Как расшифровать файлы btc#

[lkbyysq]

Сработал шифровальщик ночью 29.06.2019г.
Шифрует имя файла и приписывает расширение *.btc#
В каждой обработанной директории создает файл "Как расшифровать файлы btc#.txt"
Типичный файл прилагаю.

Windows7 Prof c Security Essentials.

Скачал и запустил Kaspersky Rescue Disk. Результат его работы здесь: https://yadi.sk/d/goyK94O-PIXYUg 17МБ

Прилагаю как пример директорию с зашифрованными файлами (пароль "12345", ибо Яндекс Диск ругается на вирус): https://yadi.sk/d/FnTR6rwJcudrvw 42МБ
и оригинальную (почти) директорию (копия с другого компа): https://yadi.sk/d/oQbAXEZjE55vmQ 39МБ

Помогите восстановить зашифрованные файлы.

[Info_bot]

Уважаемый(ая) lkbyysq, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

С расшифровкой скорее всего не поможем.

Только с зачистой вредоносного ПО.


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('spoolsrvrs');
 StopService('werlsfks');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\programdata\microsoft\drm\gxumi\lnterrupts.exe');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Gxumi\lnterrupts.exe','');
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('spoolsrvrs');
 DeleteService('werlsfks');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[lkbyysq]

Сейчас вот увидел, что и на FTP-сервере (DLINK ShareCenter в той же локалке) данные тоже зашифрованы. Содержимое файла "Как расшифровать файлы btc#.txt" один-в-один. Насколько я могу быть уверен, что шифрование происходило с указанного выше компьютера, а не с какого-либо другого?
Чё-то я перепугался. Ставлю на все компьютеры KAV.

- - - - -Добавлено - - - - -

Здравствуйте,

С расшифровкой скорее всего не поможем.

Только с зачистой вредоносного ПО.

SQ, спасибо за ответ и участие.
Расшифровка значительно актуальнее, чем зачистка. Я уже купил новый винт и установил на него систему.
Я могу не выполнять Ваши рекомендации по зачистке, если это однозначно не приведет к расшифровке? Или это необходимо для статистики?

[SQ]

Я могу не выполнять Ваши рекомендации по зачистке, если это однозначно не приведет к расшифровке? Или это необходимо для статистики?

Ну больше не для статистики, а для того, чтобы шифровальщик не продолжал шифровать файлы или чтобы на майнили крипто-валюта за ваш счет.
Если не планируете использовать указаное устройство, то можете ожидать пока публично появится решения для расшифровки, что очень мало вероятно в ближайщее время.

Если у Вас есть лицензия на продукты Лаборатории Касперского, то можете попробовать обратиться к ним за помощью.

[lkbyysq]

Я думал, что на FTP сервер (DLINK ShareCenter, 2014 года прошивка) себе бэкапы складываю. До вчерашнего дня так думал.
Вирус все зашифровал.
Проник он туда так (Лог с FTP).

Jun 28 21:38:15 ShareCenter smbd: CIFS: Authentication for user [Katerina] has FAILED.
Jun 28 21:38:15 ShareCenter smbd: CIFS: [192.168.11.210] connected to [Volume_1] as user [nobody].
Jun 28 21:38:15 ShareCenter smbd: CIFS: [192.168.11.210] connected to [Recycle Bin - Volume_1] as user [nobody].
Jun 28 21:50:14 ShareCenter smbd: CIFS: [192.168.11.210] closed the connection to service [Recycle Bin - Volume_1].
Jun 28 21:50:14 ShareCenter smbd: CIFS: [192.168.11.210] closed the connection to service [Volume_1].

Мне некто сказал следующее:
"судя по "as user [nobody]. " это под анонимусом.
Видимо есть дыра в твоей самбе либо она не корректно настроена."
Но там настроек-то с гулькин нос, никакой самбой не пахнет.

Вопрос первый: Некто прав?
Вопрос второй: Куда бэкапить-то? Если всякий вирус под анонимусом заходит! Если купить свеженькую коробочку с FTP сервером со свеженькой прошивкой - спасет?
Вопрос третий: Что за вирус-то, новомодный какой? Ну в смысле я последний лох, раз вляпался, или не последний - так карта легла?

[SQ]

Касаемо D-Link то уязвимостей у него хватает. Вот например: Уязвимости в маршрутизаторах D-Link позволяют получить над ними полный контроль

1) не понял вопроса.
2) вопрос к системному администратору, так как возможностей по сути множество. (обычно их изолируют от пользовательской сети и интренета)
3) без карантина с этим видом шифровальзика тяжело, что-то вам сказать.

[lkbyysq]

без карантина с этим видом шифровальзика тяжело, что-то вам сказать.

С Вашего позволения я сделаю карантин завтра вечером, во вторник.