Перейти к содержанию

Все важные файлы на всех дисках зашифрованы. Требуется помощь


Рекомендуемые сообщения

Добрый день, уважаемые.

Домашний компьютер был защищен (Avast), но это не помогло....: злоумышленники зашифровали на компьютере все семейные фотографии (

Было оставлено сообщение в файле README.txt с просьбой прислать КОД B20026044431852BE5BB|0 на deshifrator01@gmail.com

(см. прикрепленную картинку-фотоскрин)

 

В поисках решения данной проблемы нашел инструкцию по адресу 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
 

Мои действия:

 

1. Проверил ПК, воспользовавшись двумя продуктами:

2. Очистил содержимое временных папок, используя стандартную программу ОС "Очистка диска". Ознакомился с инструкцией тут Windows XP

3. Скачал актуальную версию автоматического сборщика логов, Запустил файл AutoLogger.exe и следовал инструкции

4. Создаю новую тему в разделе форума "Уничтожение вирусов"

 

 

Выполнил все пункты и прикрепляю файл.

Помогите пожалуйста решить задачу. 

Возможно ли восстановление (дешифровка) фотографий ?

 

CollectionLog-2015.02.24-12.48.zip

post-27934-0-48777400-1424780464_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\webget\bin\utilwebget.exe');
 TerminateProcessByName('c:\program files\webget\updatewebget.exe');
 SetServiceStart('{bfb10c93-5530-4015-9a3f-61dfa880af58}t', 4);
 SetServiceStart('{9edd0ea8-2819-47c2-8320-b007d5996f8a}t', 4);
 SetServiceStart('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt', 4);
 SetServiceStart('{970302c0-cf9b-403f-9271-510be0ea0e41}t', 4);
 SetServiceStart('{65cf228c-9737-4032-a0e5-85bf6eb0556b}t', 4);
 SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}t', 4);
 SetServiceStart('{1ffea19d-7c99-423a-a198-c6b90ff23847}t', 4);
 SetServiceStart('{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t', 4);
 SetServiceStart('Util webget', 4);
 SetServiceStart('Update webget', 4);
 StopService('{bfb10c93-5530-4015-9a3f-61dfa880af58}t');
 StopService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}t');
 StopService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt');
 StopService('{970302c0-cf9b-403f-9271-510be0ea0e41}t');
 StopService('{65cf228c-9737-4032-a0e5-85bf6eb0556b}t');
 StopService('{55685567-4840-4a91-962b-49a412e9485a}t');
 StopService('{1ffea19d-7c99-423a-a198-c6b90ff23847}t');
 StopService('{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t');
 StopService('3D0F3BA3');
 StopService('Util webget');
 StopService('Update webget');
 QuarantineFile('C:\Program Files\webget\*','');
 QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Titan Poker\casino.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\SfVovCiWuQVkYolHbrY-xSCkX9BFGeJXuw3XljX728EmBEwdcGOMpjcFT7YhkC-+h327YfysL2hc1GOZ2zvXPg==.xtbl','');
 QuarantineFile('C:\windows\system32\drivers\{cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys','');
 QuarantineFile('C:\windows\system32\drivers\{970302c0-cf9b-403f-9271-510be0ea0e41}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{65cf228c-9737-4032-a0e5-85bf6eb0556b}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t.sys','');
 QuarantineFile('42666838.sys','');
 QuarantineFile('3D0F3BA3.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\152A1A2E0C8.sys','');
 QuarantineFile('c:\documents and settings\admin\local settings\temp\14974F4F3DE.sys','');
 DeleteFile('C:\windows\system32\drivers\{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{65cf228c-9737-4032-a0e5-85bf6eb0556b}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{970302c0-cf9b-403f-9271-510be0ea0e41}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys','32');
 DeleteFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t.sys','32');
 DeleteFileMask('C:\Program Files\webget\','*', true, '');
 DeleteDirectory('C:\Program Files\webget\',' ');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\SfVovCiWuQVkYolHbrY-xSCkX9BFGeJXuw3XljX728EmBEwdcGOMpjcFT7YhkC-+h327YfysL2hc1GOZ2zvXPg==.xtbl','32');
 DeleteService('{bfb10c93-5530-4015-9a3f-61dfa880af58}t');
 DeleteService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}t');
 DeleteService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt');
 DeleteService('{970302c0-cf9b-403f-9271-510be0ea0e41}t');
 DeleteService('{65cf228c-9737-4032-a0e5-85bf6eb0556b}t');
 DeleteService('{55685567-4840-4a91-962b-49a412e9485a}t');
 DeleteService('{1ffea19d-7c99-423a-a198-c6b90ff23847}t');
 DeleteService('{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t');
 DeleteService('Util webget');
 DeleteService('Update webget');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: webget 1.0.0.7 - {dc264a72-fa75-4948-b881-ea8eff8e5dd2} - C:\Program Files\webget\webgetBHO.dll
O4 - Startup: SfVovCiWuQVkYolHbrY-xSCkX9BFGeJXuw3XljX728EmBEwdcGOMpjcFT7YhkC-+h327YfysL2hc1GOZ2zvXPg==.xtbl

 
Сделайте новые логи по правилам (только пункт 3).
+
лог Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Я создал запрос в тот же день, но до сих пор ответ не поступил на указанную в запросе электропочту
Сегодня повторно совершил запрос. (см. картинку)

Вопрос: Что делать с зашифрованными файлами ? Могу ли я их как-то расшифровать ? Что мне делать дальше если ответа не поступит ?

 

С уважением пострадавший.

post-27934-0-96806700-1425537400_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

 

 

Что мне делать дальше если ответа не поступит ?
Сделайте новые логи по правилам (только пункт 3).
+
лог Farbar Recovery Scan Tool

http://forum.kaspers...611#entry647696

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION
    SearchScopes: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> {60979F40-1638-406D-8C80-FB2E6C4B7083} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=60
    Toolbar: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    SearchScopes: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = http://gsearch.softmen.ru/?q={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-02
    SearchScopes: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = http://search.softmen.ru/?text={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-02
    FF DefaultSearchUrl: hxxp://gsearch.softmen.ru/?utm_medium=fse&utm_source=sk&utm_campaign=bp&utm_content=11-02&q=
    FF Extension: Аудио и видео скачивание - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\k7wui19f.default\Extensions\avdownloader-sk16@sk-sdk.com.xpi [2014-06-24]
    FF Extension: webget 1.0.1 - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\k7wui19f.default\Extensions\{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}.xpi [2014-12-03]
    FF Extension: Greasemonkey - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\k7wui19f.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi [2013-05-28]
    CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com"
    CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com"
    CHR DefaultSearchKeyword: Default -> dsrlte.com
    CHR DefaultNewTabURL: Default -> http://rts.dsrlte.com?affID=pr_09646eb7-9582-4be9-92a2-032d09187e05
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bkailahlmeablpbajegfdlcnabbloadi [2014-06-24]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bmkckgpgekmanipelfidlhmkfcjicion [2015-01-21]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fkkcgfbgohboipdhliafmacjnhjbhmim [2014-11-05]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2014-11-05]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2013-01-29]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kheplajlialegkhogehgdbhaogeikfag [2014-09-29]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2013-05-22]
    CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-15]
    CHR HKLM\...\Chrome\Extension: [bkailahlmeablpbajegfdlcnabbloadi] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [2014-06-24]
    CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2014-02-03]
    CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-436374069-1177238915-1606980848-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bmkckgpgekmanipelfidlhmkfcjicion] - https://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-436374069-1177238915-1606980848-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkkcgfbgohboipdhliafmacjnhjbhmim] - https://clients2.google.com/service/update2/crx
    S1 {cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t; system32\drivers\{cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t.sys [X]
    C:\Documents and Settings\Admin\Local Settings\Temp\AmigoDistrib.exe
    Reboot:
    
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Мой компьютер чист, но дешифровать не получиться. Все верно ?
Для восстановления семейных фотографий одна надежда - это связаться со злоумышленниками и оплатить им услугу дешифровки. Правильно ?

Ссылка на комментарий
Поделиться на другие сайты

Мы с расшифровкой не поможем. Вирлабы тоже.

 

Как вариант, http://virusinfo.info/showthread.php?t=156188

Если не подходит, тогда только связь со злодеями

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • madlab
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Алексей Медек
      От Алексей Медек
      Доброго дня, у кого-нибудь есть пример как вызывать .BAT или .EXE для срабатывания 'Уведомление о событиях с помощью исполняемого файла' из раздела Уведомления Свойств сервера KSC 14.2 на Windows.
      Конкретная цель - отправлять уведомления в Telegram.
       

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...