Просьба помочь с шифровальщиком [[email protected] ].wiki. Расширение файлов .wiki

[Sem-Z]

Добрый день!
Сработал на сервере вирус шифровальщик.
Получили письмо следующего содержания:

Please turn off your Remote Desktop Protocol passwords or change all your users passwords to more stronger.

1. Price.
3000 $ (american dollars) for decryption of all your files, or part of your files, same price.
We accept only BITCOIN payments. (It is a decentralized digital currency)

2. Be careful please.
Do not change extension of encrypted files.
Do not try to decrypt your files using software in internet, these programs don`t works.
If you want to try change crypted files, please make backup before do it.
Only our email [email protected] have keys for decryption of your files. Do not believe to another peoples.

3. Test decryption
We can decrypt 1 little, not important file like a proof of decryption.
1 megabyte non archived file. We never decrypt for test important files like XLS, Databases, and other important files.

4. The decryption process:
We are waiting your payment on our bitcoin wallet: "1M71c1s3MQbQPVWaY8EFahoKS7bKzeJe7r". As we receive the money we will send you:
a) Tool for decryption.
b) Instructions for decryption and security of your computer.
c) Private keys that will decrypt all your files.

5. Websites where you can buy bitcoins :
paxful.com
localbitcoins.com
bitbay.net
www.bitquick.co
www.xmlgold.eu
www.bitpanda.com
www.abra.com
buy.bitcoin.com
Big list of websites https://bitcoin.org/en/exchanges
PLEASE DO NOT USE COINBASE! Because you can send bitcoins only after 2 weeks after registration.
Websites for CHINA: https://www.huobi.com/ https://www.bitoex.com/ Websites for Russia: https://byware.net/


1. 1 computers
2. 1 external hard drives
3. C4B8AE2D

[Info_bot]

Уважаемый(ая) Sem-Z, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

C:\Users\User1\Downloads\TPC\1DunaS.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

[Sem-Z]

C:\Users\User1\Downloads\TPC\1DunaS.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

https://www.virustotal.com/gui/file/...a4ea/detection

[thyrex]

Расшифровки нет. Будет только зачистка мусора в системе.

Выполните скрипт в AVZ из папки Autologger

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\User1\Downloads\TPC\1DunaS.exe');
 DeleteFile('C:\Users\User1\Downloads\TPC\1DunaS.exe','32');
 DeleteFile('C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\User1\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3515262912-2170627816-3211187456-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\User1\AppData\Roaming\Info.hta','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3515262912-2170627816-3211187456-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\User1\AppData\Roaming\Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера выполните вручную после скрипта.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.