Ваши файлы были зашифрованы

25 ноября, 2015

Здравствуйте!

Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..

Зашифровались все важные для меня файлы на жестком диске а именно фото, видео, картинки, видео и прочее..

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)

А все файлы зашифровались в белиберду с расширением.BREAKING_BAD,

например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl

В многочисленных текстовиках созданных вирусом пишется вот это:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
82C551F386DC56F5EF49|0
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
82C551F386DC56F5EF49|0
to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Во вложениях архив CollectionLog-2015.11.25-16.43.zip, + скрины с названием вируса и проблемой

Если что-то ещё надо, только скажите.

Очень жду вашей помощи.

Заранее огромное спасибо.

CollectionLog-2015.11.25-16.43.zip

Изменено 25 ноября, 2015 пользователем Росфиннадзор

25 ноября, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

26 ноября, 2015

А я думал сюда надо отправлять

https://virusdesk.kaspersky.ru/

Отправил письмо. Подскажите пожалуйста, а файлы безвозвратно повреждены или они правда зашифрованы и возможно их восстановление?

И я забыл сказать, у меня есть сам файл вируса. Это поможет как-то?

Изменено 26 ноября, 2015 пользователем Росфиннадзор

26 ноября, 2015

Я не вижу новых логов по правилам

26 ноября, 2015

Отправил им архив карантин и сам файл с вирусом.

1. Ответ на файл с вирусом KLAN-3385893052

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

schet.nomer.10400526-25-11.scr - Backdoor.Win32.Androm.itfe
Детектирование файла будет добавлено в следующее обновление.

2. Ответ на архив Карантин KLAN-3385893052

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
csrss.exe - Backdoor.Win32.Androm.itfe

сейчас приложу логи

p.s. Забавно) почти год назад по похожему вирусу именно вы помогали человеку) нашел тему

Новые логи

CollectionLog-2015.11.26-10.28.zip

Изменено 26 ноября, 2015 пользователем Росфиннадзор

26 ноября, 2015

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

26 ноября, 2015

Сделано

Addition.txt

FRST.txt

26 ноября, 2015

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3413350316-86964178-4001798346-1001\Software\Classes\.exe:  =>  <===== ATTENTION
Task: {D586C853-C2CE-43DC-A172-931C1DA1E1D9} - \Программа онлайн-обновления Sun Microsystems. -> No File <==== ATTENTION
2015-11-25 16:30 - 2015-11-25 16:30 - 00000000 ____D C:\Device
2015-11-25 15:05 - 2015-11-25 15:05 - 03148854 _____ C:\Users\Сырица\AppData\Roaming\B3A187A4B3A187A4.bmp
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README9.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README8.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README7.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README6.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README5.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README4.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README3.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README2.txt
2015-11-25 15:05 - 2015-11-25 15:05 - 00000857 _____ C:\Users\Public\Desktop\README1.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README9.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README8.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README7.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README6.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README5.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README4.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README3.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README2.txt
2015-11-25 14:05 - 2015-11-25 14:05 - 00000857 _____ C:\README10.txt
2015-11-25 13:54 - 2015-11-26 09:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-25 13:54 - 2015-11-26 09:11 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

26 ноября, 2015

Сделано

Fixlog.txt

26 ноября, 2015

Лицензия на антивирус действующая или пробная версия?

26 ноября, 2015

Действующая

Инфо

Посмотрел

Изменено 26 ноября, 2015 пользователем thyrex
убрал картинку с номером

26 ноября, 2015

http://forum.kaspersky.com/index.php?showtopic=337288

26 ноября, 2015

Ну как я и думал. Зачем тогда вам писать? если можно сразу туда? помощи никакой. Почитал людей с такими же проблемами, никому не помогли. Для чего эти все операции тогда делать, можно узнать?

Ведь можно еще вчера было дать эту ссылку и я бы написал им

И там написано, посоветоваться с хелпером. НУ хоть бы что посоветовали, какой файл приложить или что. Потанцевали с бубном и все, идите типа дальше (((

Изменено 26 ноября, 2015 пользователем Росфиннадзор

26 ноября, 2015

В следующий раз живите с работающим вирусом и пусть он продолжает шифровать дальше, пока будете ждать ответ от ТП.

26 ноября, 2015

Понятно( я в первый день убил его. Я думал вы поможете файлы восстановить. Я же спрашивал у вас, вы можете помочь с восстановлением файлов? Ответа не было.

Сказали бы сразу, что НЕТ, МЫ ПОМОЧЬ С ЭТИМ НЕ МОЖЕМ, и я бы не терял драгоценное время на вас и вы на меня.

Вобщем благодарить не буду, только потерял сутки времени и ничего не сделали мы с вами. Буду теперь тех поддержку ждать((

Просто понимаете, мне на систему плевать. Это ноут, на нем Винда 7 домашняя, я давно ждал когда она уже крякнется, чтобы забрать у пользователя, поставить про и вогнать в домен. Мне очень важно файлы восстановить, а то что вирус там все пожрет мне без разницы. Я его от сети отключил и все.

Изменено 26 ноября, 2015 пользователем Росфиннадзор

Ваши файлы были зашифрованы

Рекомендуемые сообщения

Росфиннадзор

thyrex

Росфиннадзор

thyrex

Росфиннадзор

thyrex

Росфиннадзор

thyrex

Росфиннадзор

thyrex

Росфиннадзор

Инфо

thyrex

Росфиннадзор

thyrex

Росфиннадзор

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum