Вирус зашифровал фалы на компьютере

[loyrew]

Зашифрованы файлы на компьютере с расширением .xtbl. В корне папок размещения файлы readme, следующего содержания:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

C7373C70FB5BDE6F416D|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

C7373C70FB5BDE6F416D|0

to e-mail address decode010@gmail.com or decode1110@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.07.15-14.15.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{6c14185e-4de6-4a79-985b-19f23fd1e638}');
QuarantineFile('C:\Program Files (x86)\Hold Page\HoldPageBHO.dll','');
SetServiceStart('{f0087990-17d0-4537-ad91-6a7a9c5c1b37}w64', 4);
DeleteService('{f0087990-17d0-4537-ad91-6a7a9c5c1b37}w64');
SetServiceStart('{df47b99d-26f5-45f4-85c5-97b4da365f21}w64', 4);
DeleteService('{df47b99d-26f5-45f4-85c5-97b4da365f21}w64');
SetServiceStart('{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}w64', 4);
DeleteService('{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}w64');
SetServiceStart('{a16a1775-5ab3-4034-ac52-de0795db97f0}w64', 4);
DeleteService('{a16a1775-5ab3-4034-ac52-de0795db97f0}w64');
SetServiceStart('{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64', 4);
DeleteService('{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64');
SetServiceStart('{8299d9bc-4fe2-4889-9adf-025a0769d461}w64', 4);
DeleteService('{8299d9bc-4fe2-4889-9adf-025a0769d461}w64');
SetServiceStart('{507a9b68-2b48-4a22-b662-e674fb6a16f7}w64', 4);
DeleteService('{507a9b68-2b48-4a22-b662-e674fb6a16f7}w64');
SetServiceStart('{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}w64', 4);
DeleteService('{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}w64');
SetServiceStart('{27899312-155f-40f3-8661-fb6675d82b4b}w64', 4);
DeleteService('{27899312-155f-40f3-8661-fb6675d82b4b}w64');
SetServiceStart('{078ad437-dc9f-4228-9edb-b3d1c0246ff8}w64', 4);
DeleteService('{078ad437-dc9f-4228-9edb-b3d1c0246ff8}w64');
DeleteService('Util Hold Page');
DeleteService('Update Hold Page');
QuarantineFile('C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe','');
QuarantineFile('C:\Program Files (x86)\Hold Page\updateHoldPage.exe','');
QuarantineFile('C:\Windows\system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}w64.sys','');
DeleteFile('C:\Windows\system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}w64.sys','32');
DeleteFile('C:\Program Files (x86)\Hold Page\updateHoldPage.exe','32');
DeleteFile('C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe','32');
DeleteFile('C:\Program Files (x86)\Hold Page\HoldPageBHO.dll','32');
DeleteFile('C:\$Recycle.Bin\S-1-5-21-1566269230-2831223136-1190984422-1001\$RZ8JBB0.tmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи