Все файлы стали с расширением *.ENC

[green711]

Здравствуйте. Установлен KIS2012 с последними базами. При включении компьютера из автозагрузки загрузился файл: HOW TO DECRYPT FILES.txt с текстом:

 

"

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.

Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.

Все зашифрованые файлы имеют формат .ENC

Восстановить файлы можно только зная уникальный для вашего пк пароль.

Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.

Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.

Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.

Среднее время ответа специалиста 3-5 часов.

К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".

Письма с угрозами будут угрожать только Вам и Вашим файлам!

НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

 

 

 

====================================================================

Odgh447DRMAQUaP8i2t6R0paHu02X73

====================================================================

 

 

"

 

Все файлы стали иметь расширение: *.ENC и насколько я понял стали зашифрованы. Очень прошу помочь.

[thyrex]

Это скорее всего одна из разновидностей GpCode. Без закрытого ключа, известного только злоумышленникам, расшифровать невозможно

[gecsagen]

RSA1024 действительно не удавалось расшифровать еще ни кому.

[w123]

На сервере были зашифрованы файлы, расширение зашифрованных файлов ENC. Сообщение в файле "HOW TO DECRYPT FILES.txt" такое же или подобное, что опубликовал green711. Направил письмо по указанному адресу с просьбой расшифровать один файл. После чего, через некоторое время, некто зашёл на сервер. Произведя подключение к сеансу незнакомца, мной был обнаружен браузер с открытой страничкой на которой была ссылка на дешифратор, коим я успешно воспользовался для расшифровки файлов. Прилагаю архив с дешифратором, может кому поможет.

Вот одно из писем, полученных от анонимного лица:

  Цитата

Здравствуйте!

Чтобы получить дискриптор и пароль для расшифровки Ваших файлов, необходимо пополнить наш счет QIWI, на сумму 10 000 рублей через любой салон сотовой связи "Евросеть" либо через любой терминал оплаты услуг сотовой связи.

Сохраните квитанцию об оплате, на случай форс-можерных обстоятельств.

После поступления средств мы моментально вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.

Мы готовы расшифровать любой небольшой файл для подтверждения своих намерений.

Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются.

Пожалуйста, не изменяйте тему сообщения,

С Уважением, Decrypting.

В связи с чем у меня вопроc: можно ли используя платёжные реквизиты отследить жулика, и в какую службу лучше обратиться.

Decript2Pack.zipПолучение информации...

[green711]

Насколько я понял, Trojan-Ransom.Win32.GpCode после того как сделает свое грязное дело самоудаляется. Я сделал полную проверку компьютера установленным на нем KIS2012 (лицензионным), потом проверил в безопасном режиме CureIT'ом, ничего не нашел. Удалил из реестра все записи "how to decrypt files.txt". Сегодня создал нового пользователя на данном ПК, поместил его в группу администраторов, зашел с другого ПК через удаленный рабочий стол и через несколько секунд после входа, у меня на экране снова вылез данный файл how to decrypt files.txt. Т.е. получается данный вирус до сих пор жив? Как же его убить? Форматирование не предлагать (об этом способе я и сам знаю).

[Roman_Five]

  green711 сказал:

Т.е. получается данный вирус до сих пор жив?

чтобы это понять, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=37067

[green711]

  Roman_Five сказал:

чтобы это понять, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

Исправился. Вопрос тот же:

Насколько я понял, Trojan-Ransom.Win32.GpCode после того как сделает свое грязное дело самоудаляется. Я сделал полную проверку компьютера установленным на нем KIS2012 (лицензионным), потом проверил в безопасном режиме CureIT'ом, ничего не нашел. Удалил из реестра все записи "how to decrypt files.txt". Сегодня создал нового пользователя на данном ПК, поместил его в группу администраторов, зашел с другого ПК через удаленный рабочий стол и через несколько секунд после входа, у меня на экране снова вылез данный файл how to decrypt files.txt. Т.е. получается данный вирус до сих пор жив? Как же его убить? Форматирование не предлагать (об этом способе я и сам знаю). Также проверил ветки реестра, которые отвечают за автозагрузку. Заменил файл userinit.exe и explorer.exe на заведомо исправные.

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте virusinfo_cure.zip на форум. Файл удалён.

virusinfo_syscure.zipПолучение информации...

virusinfo_syscheck.zipПолучение информации...

log.txtПолучение информации...

info.txtПолучение информации...

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\ntshrui.dll.','');
QuarantineFile('C:\WINDOWS\Offline Web Pages\cache.txt','');
QuarantineFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\HOW TO DECRYPT FILES.txt','');
QuarantineFile('C:\Documents and Settings\User2\Application Data\Microsoft\Internet Explorer\Quick Launch\HOW TO DECRYPT FILES.txt','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\teefer2.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP151.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\Documents and Settings\User2\Application Data\Microsoft\Internet Explorer\Quick Launch\HOW TO DECRYPT FILES.txt');
DeleteFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\HOW TO DECRYPT FILES.txt');
DeleteFile('C:\WINDOWS\Offline Web Pages\cache.txt');
DeleteFile('C:\WINDOWS\Temp\ntshrui.dll.');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - Default URLSearchHook is missing
O4 - S-1-5-21-1715567821-790525478-682003330-1005 Startup: HOW TO DECRYPT FILES.txt (User 'User2')
O4 - S-1-5-21-1715567821-790525478-682003330-1005 User Startup: HOW TO DECRYPT FILES.txt (User 'User2')

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[green711]

Malwarebytes' Anti-Malware нашла четыре трояна, их удалил.

Файл Quarantine.zip отправил через личный кабинет. Как только получу ответ, отпишусь.

Дешифратор, который выложил w123 Decript2Pack.zip файлы расшифровал, но, все с ошибкой, т.е. открываешь, а там "каша".

info.txtПолучение информации...

log.txtПолучение информации...

mbam_log_2012_09_18__11_55_04_.txtПолучение информации...

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

[Roman_Five]

  green711 сказал:

Дешифратор, который выложил w123 Decript2Pack.zip файлы расшифровал, но, все с ошибкой

дешифратор уникальный для каждого случая...

 

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.

Обнаруженные файлы:  3
C:\Documents and Settings\User1\Local Settings\Temporary Internet Files\Content.IE5\45QRWT2Z\winlogon[1].exe (Trojan.FakeMS) -> Действие не было предпринято.

После удаления прикрепите новый полученный лог MBAM.

 

Файлы

C:\Documents and Settings\User1\Windows\system\Safesurf\safesurf.exe
C:\WINDOWS\Config\all\Safesurf\safesurf.exe

проверьте на virustotal.com

2 ссылки на результаты проверки приложите.

 

Проверьте компьютер утилитой из данной статьи

http://support.kaspersky.ru/faq/?qid=208639606

перед началом сканирования выберите "изменить параметры проверки" и отметьте 2 дополнительные опции.

полученный лог с корня диска С приложите.

[thyrex]

+ http://download.geo.drweb.com/pub/drweb/to...e157decrypt.exe пробуйте

[green711]

thyrex Выражаю Вам свою глубочайшую признательность за ссылку, и конечно же разработчикам из DrWeb. Данный дешифратор помог, все расшифровал (приятно удивила скорость расшифровки, на несколько тысяч зашифрованных файлов ушло не более получаса). Запускал его так:

 

te157decrypt.exe -p Odgh447DRMAQUaP8i2t6R0paHu02X73

 

Где Odgh447DRMAQUaP8i2t6R0paHu02X73 - ключ из файла HOW TO DECRYPT FILES.txt

Roman_Five Вам большое спасибо за то, что продолжаете заниматься моей проблемой.

 

1) Обнаруженные угрозы MBAM я удалил еще в первый раз. Заново просканировал.

 

2) Файлы похоже были удалены, поэтому отправить в virustotal.com не могу

C:\Documents and Settings\User1\Windows\system\Safesurf\safesurf.exe
C:\WINDOWS\Config\all\Safesurf\safesurf.exe

3) Утилитой TDSSKiller проверку сделал (с отмеченными двумя дополнительными опциями).

mbam_log_2012_09_19__17_47_35_.txtПолучение информации...

TDSSKiller.2.8.10.0_20.09.2012_09.18.14_log.txtПолучение информации...

[Roman_Five]

  green711 сказал:

продолжаете заниматься моей проблемой

у Вас были следы старого заражения...

 

сейчас всё чисто.

деинсталлируйте MBAM.

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=37219