Просьба помочь с шифровальщиком [[email protected] ].wiki. Расширение файлов .wiki
Добрый день!
Сработал на сервере вирус шифровальщик.
Получили письмо следующего содержания:
Please turn off your Remote Desktop Protocol passwords or change all your users passwords to more stronger.
1. Price.
3000 $ (american dollars) for decryption of all your files, or part of your files, same price.
We accept only BITCOIN payments. (It is a decentralized digital currency)
2. Be careful please.
Do not change extension of encrypted files.
Do not try to decrypt your files using software in internet, these programs don`t works.
If you want to try change crypted files, please make backup before do it.
Only our email [email protected] have keys for decryption of your files. Do not believe to another peoples.
3. Test decryption
We can decrypt 1 little, not important file like a proof of decryption.
1 megabyte non archived file. We never decrypt for test important files like XLS, Databases, and other important files.
4. The decryption process:
We are waiting your payment on our bitcoin wallet: "1M71c1s3MQbQPVWaY8EFahoKS7bKzeJe7r". As we receive the money we will send you:
a) Tool for decryption.
b) Instructions for decryption and security of your computer.
c) Private keys that will decrypt all your files.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sem-Z, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Расшифровки нет. Будет только зачистка мусора в системе.
Выполните скрипт в AVZ из папки Autologger
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('C:\Users\User1\Downloads\TPC\1DunaS.exe');
DeleteFile('C:\Users\User1\Downloads\TPC\1DunaS.exe','32');
DeleteFile('C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
DeleteFile('C:\Users\User1\AppData\Roaming\Info.hta','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3515262912-2170627816-3211187456-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\User1\AppData\Roaming\Info.hta','x32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3515262912-2170627816-3211187456-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\User1\AppData\Roaming\Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Обратите внимание: перезагрузку компьютера выполните вручную после скрипта.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect