Расшифровать файлы.

[maxspb]

Добрый день, 
 
У нас случилась точно такая же беда. В компанию пришло письмо с таким же текстом и письмо переслали бухгалтеру.
В результате практически все файлы зашифровались.   с изменение расширения на unstyx@gmail_com
 
Подскажите есть ли шанс расшифровать и какие дополнительные действия нужно сделать
 
Письмо сохраненное  прикладываю 

Сообщение от модератора Mark D. Pearlstone

Файл удалён.

[mike 1]

Подскажите есть ли шанс расшифровать

Без шансов. 

 

какие дополнительные действия нужно сделать

Сделать логи по правилам. 

[maxspb]

Прикладываю логи

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\alina\AppData\Roaming\gnupg\*','');
QuarantineFile('C:\Windows\Temp\TS_81E2.tmp','');
QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe','');
 QuarantineFile('C:\Users\alina\AppData\Local\Temp\svchost.exe','');
 DeleteFile('C:\Users\alina\AppData\Local\Temp\svchost.exe','32');
 DeleteFile('C:\Users\alina\appdata\local\temp\svchost.exe','32');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Что в этой папке?

 

2014-05-26 12:20:25 ----D---- C:\Users\alina\AppData\Roaming\gnupg

 

Сделайте новые логи AVZ

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

[maxspb]

Добрый день,

 

Скрипты выполнил, запрос отправил.

 

В папке gnupg - файлы с расширением  .gpg и gpg.lock  в одном из них (pubring.gpg есть кусок текста c unstyx и тд ). 

 

Логи + файл карантина + архив папки gnupg приложил.

 

virusinfo_syscheck.zipMBAM-log-2014-06-01 (18-26-34).txt

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте то, что не просят. Лишние файлы удалены

[mike 1]

В MBAM удалите только эту запись:

Обнаруженные файлы:
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.

Папка 

C:\Users\alina\AppData\Roaming\gnupg

От легальной программы GnuPG (http://ru.wikipedia.org/wiki/GnuPG), которую использовали для шифрования файлов. Можете удалить ее т.к. в ней нет приватного ключа, который мог бы помочь в расшифровке файлов.

Изменено 1 июня, 2014 пользователем mike 1

[maxspb]

Добрый день,

 

В одной из папок нашел файл KEY.PRIVATE  - не знаю поможет ли, но на всякий случай прилагаю.

 

Случайно обратил внимание на то, что у всех зашифрованных файлов совпадают первые несколько байт. С надеждой что это как то поможет прикладываю пару файлов.

 

Возможно смогу найти и оригиналы файлов, если нужно...

 

KEY.PRIVATE.zipfiles.rar

[mike 1]

Это вы нашли открытый RSA ключ он ни чем не поможет. Без закрытого ключа RSA файлы расшифровать нельзя. Поэтому без шансов. 

[qwect]

Здравствуйте, 

похожая ситуация с зашифрованными файлами.

Подскажите, пожалуйста, не решена ли проблема на данный момент.

 

Требуют 100 евро.

[mike 1]

qwect ответ дан в 9 сообщении если у вас тоже самое. 

[qwect]

платить... 

 

подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж?

[mike 1]

возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж?

Думаю автор шифратора не дурак чтобы сразу выслать секретную часть ключа. 

[nail4u2]

Только не вздумайте платить. Парни сначала участливо переписываются, когда доходит до подтверждения получения средств - отвечают что средств не получали и перестают отвечать. Будьте аккуратнее.

[Андрей]

платить... 

 

подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж?

В некоторых ситуациях, полученный платеж можно отозвать. Смотря какие возможности у вашего банка. Я в своем например могу отозвать по причине "не получена оплаченная услуга". В Вашем случае злоумышленник не смог бы доказать обратное...