Файлы зашифрованы +jabber-theone@safetyjabber [UDS:Trojan.Win32.Generic, HEUR:Trojan.Win32.Netrepser.gen]

**ОасупБЭМЗ** · 12.08.2019, 11:06

Здравствуйте!

Все файлы зашифрованы, к наименованиям добавлено +jabber-theone@safetyjabber.
Есть ли возможность восстановить файлы?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.08.2019, 11:07

Уважаемый(ая) ОасупБЭМЗ, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 12.08.2019, 12:43

Скачайте Farbar Recovery Scan Tool [img=https://i.imgur.com/NAAC5Ba.png] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/*]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
[img=https://i.imgur.com/3munStB.png]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**ОасупБЭМЗ** · 12.08.2019, 13:07

Отчет

**thyrex** · 12.08.2019, 13:22

C:\Users\Администратор.SERVERX\AppData\Roaming\Mic rosoft\BM2\wincore.exe
C:\Users\Администратор.SERVERX\AppData\Roaming\SiS wnd4\scvhots.exe

заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

**ОасупБЭМЗ** · 12.08.2019, 13:38

Сделано.

**thyrex** · 12.08.2019, 14:09

SpyHunter4 удалите через Установку программ.

Пострадала только эта машина? Других пострадавших в сети машин нет?

Сами прописали в автозагрузку C:\Users\user59\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\События_очистить.cmd ?

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
File: C:\ProgramData\AMDCC\winamd.exe
File: C:\Users\Администратор.SERVERX\xRdp.v2.1.exe
Folder: C:\Users\Администратор.SERVERX\AppData\Roaming\WindowsServices
Folder: C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4
Folder: C:\ProgramData\AMDCC
C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2
Folder: C:\Program Files\D4
Folder: 
HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [AMDsys] => "C:\ProgramData\AMDCC\winamd.exe"
HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [IBMsys] => C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe [82944 2019-02-07] () [File not signed]
HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [sheme33] => C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe [513024 2019-02-24] (Abcde1 Company) [File not signed]
C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe 
C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [129]
2019-08-12 11:24 - 2019-08-12 11:50 - 000000000 ____D C:\Program Files\SpyHunter
2019-08-12 11:24 - 2019-08-12 11:24 - 000000733 _____ C:\Users\Public\Desktop\SpyHunter4.lnk
2019-08-12 11:24 - 2019-08-12 11:24 - 000000733 _____ C:\ProgramData\Desktop\SpyHunter4.lnk
2019-08-12 11:24 - 2019-08-12 11:24 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4
2019-08-11 12:12 - 2019-08-11 12:12 - 000000103 _____ C:\ProgramData\Microsoft\Windows\Start Menu\INSTRUCTION.txt
2019-08-11 12:11 - 2019-08-11 12:12 - 000000103 _____ C:\Users\Public\Desktop\INSTRUCTION.txt
2019-08-11 12:11 - 2019-08-11 12:12 - 000000103 _____ C:\ProgramData\Desktop\INSTRUCTION.txt
2019-08-11 12:11 - 2019-08-11 12:11 - 000000103 _____ C:\ProgramData\INSTRUCTION.txt
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после этого скрипта.

**ОасупБЭМЗ** · 12.08.2019, 14:22

>Пострадала только эта машина? Других пострадавших в сети машин нет?
Других пострадавших нет.

>Сами прописали в автозагрузку C:\Users\user59\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\События_очистить.cmd ?
Нет. Это было сделано очень давно, кем - неизвестно.

В данный момент я читаю форум не с пострадавшего компьютера (он не имеет доступа в Интернет). Следует ли мне скопировать текст скрипта и перенести его на пострадавший в текстовом файле?

**thyrex** · 12.08.2019, 14:31

Тогда при переносе нужно сохранить скрипт в файл fixlist.txt и поместить в папку с FRST. После этого запустить FRST.

**ОасупБЭМЗ** · 13.08.2019, 08:35

Сделано

**ОасупБЭМЗ** · 14.08.2019, 14:16

Подскажите пожалуйста, можем ли мы на данном этапе перенести зашифрованные файлы на другой носитель и переустановить Windows на пострадавшем компьютере, чтобы хоть как-то продолжать работу?

**thyrex** · 14.08.2019, 17:56

Переносите. Без файла с ключами, который не удается отловить во всех последних случаях, расшифровка невозможна.

**ОасупБЭМЗ** · 14.08.2019, 19:10

Есть смысл пытаться связываться со злоумышленниками?

И да, есть несколько файлов до и после зашифровки. Они не помогут?

**thyrex** · 14.08.2019, 21:11

Не помогут. Связываться или нет со злодеями решать Вам.

**ОасупБЭМЗ** · 14.08.2019, 21:16

Есть ли надежда, что средство расшифровки появится в будущем (иными словами, есть ли смысл хранить файлы)?
Мы бы заплатили вымогателям, но связаться с ними не удаётся.

**thyrex** · 14.08.2019, 21:24

Сомнительно, что оно появится. Повторяю еще раз - все дело в файле с ключами, который не удается отловить. Длина ключей может быть разной. А так алгоритм известен еще со времен самой первой версии.

**ОасупБЭМЗ** · 14.08.2019, 21:44

Что из себя этот файл представляет и где он теоретически должен быть? Можно ли его как-то вручную найти?

**CyberHelper** · 14.08.2019, 21:54

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. \scvhots.exe - HEUR:Trojan.Win32.Netrepser.gen ( BitDefend=
  er: Gen:Trojan.Heur2.RP.Fq0@a0hD@Qli )
2. \wincore.exe - UDS:Trojan.Win32.Generic ( BitDefender: Gen=
  :Heur.PIF.1 )

Файлы зашифрованы +jabber-theone@safetyjabber [UDS:Trojan.Win32.Generic, HEUR:Trojan.Win32.Netrepser.gen] (заявка № 223389)

Опции темы