зашифрованы доки, фото, видео файлы

[texnikamar]

На компьютере стали зашифрованы фото и документы. Появился в каждой директории файл -ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt- со следующим содержанием:
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

--------------------------------------------------------------

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=&HashID=f5dcd0e611364e'в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

ID:
HashID: f5709b9e611364e

--------------------------------------------------------------

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

--------------------------------------------------------------

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

--------------------------------------------------------------

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard
------------------------------------------------------------------------------------------------------------------------------------------------------------


Подскажите, что можно предпринять? Совсем не хочется терять данные.

Логи сделал по информации http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

CollectionLog_2016.01.11_20.31.zip

Изменено 12 января, 2016 пользователем mike 1

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdater\Updater.exe','');
 StopService('Bonjoiur Host Controller');
 DeleteService('Bonjoiur Host Controller');
 TerminateProcessByName('c:\users\user\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe');
 QuarantineFile('c:\users\user\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe','');
 TerminateProcessByName('c:\program files\bonjoiur host controller\bhctrl32.exe');
 QuarantineFile('c:\program files\bonjoiur host controller\bhctrl32.exe','');
 DeleteFile('c:\program files\bonjoiur host controller\bhctrl32.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe','32');
 DeleteFile('C:\Program Files\Bonjoiur Host Controller\bhctrl32.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GenieFloater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
 DeleteFile('C:\Program Files\Genie Soft\Genie Cleaner\GenieFloater.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\tor.exe','32');
 DeleteFile('C:\Windows\Tasks\0915tbUpdateInfo.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1012.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_658.job','32');
 DeleteFile('C:\Users\user\AppData\Roaming\newSI_1012\s_inst.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\newSI_658\s_inst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\0915tbUpdateInfo','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1012','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_658','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\user\AppData\Local\Host installer\685053727_installcube.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

[texnikamar]

Вот полученный ответ:

 

Запрос на исследование вредоносного файла [KLAN-3620768013]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

tor.exe

No malicious code was found in this file.

bhctrl32.exe

An unknown file has been received. It will be sent to the Virus Lab.

ClearLNK-16.01.2016_19-38.log

[mike 1]

Новые логи Автологгера где?

[texnikamar]

Прикрепляю новый лог-файл Автологгера.

CollectionLog-2016.01.16-20.01.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[texnikamar]

Прикрепляю отчет от  AdwCleaner

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[texnikamar]

Отчет программы AdwCleaner после очистки.

 

К слову добавлю - ко всем важным файлам на компьютере добавилось расширение ".fbf72b91"

AdwCleanerC1.txt

Изменено 24 января, 2016 пользователем texnikamar

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[texnikamar]

После сканированияя FSRT прикрепляю файлы.

Еще забыл отметить такую особенность - при двойном щелчке мышкой на любой текстовый файл - он сразу отправляется на печать. Это появилось сразу после заражения компьютера.

Addition.txt

FRST.txt

[mike 1]

Не пропадайте пожалуйста из темы. 

 

Деинсталлируйте:

TNod User & Password Finder (HKLM\...\TNod) (Version: 1.4.2.3 - Tukero[X]Team)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\...\Run: [TNOD UP] => C:\Program Files\TNod User & Password Finder\TNODUP.exe [1024748 2013-07-01] (Tukero[X]Team)
2016-01-11 21:13 - 2016-01-11 21:13 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-01-11 21:11 - 2016-01-11 21:11 - 00021466 _____ C:\Users\user\AppData\Roaming\WindowsUpdater.rar
2016-01-11 20:28 - 2016-01-16 20:52 - 00001443 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
2016-01-10 08:38 - 2016-01-16 18:12 - 00000000 ____D C:\Users\user\AppData\Roaming\tor
2016-01-10 08:37 - 2016-01-10 15:42 - 00000000 ____D C:\Users\user\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-09 16:27 - 2016-01-23 21:55 - 00000000 ____D C:\Users\Все пользователи\WzfDTf
2016-01-09 16:27 - 2016-01-23 21:55 - 00000000 ____D C:\Users\Все пользователи\fUAPBOic
2016-01-09 16:27 - 2016-01-23 21:55 - 00000000 ____D C:\ProgramData\WzfDTf
2016-01-09 16:27 - 2016-01-23 21:55 - 00000000 ____D C:\ProgramData\fUAPBOic
2016-01-09 16:27 - 2016-01-09 16:27 - 00000000 ____D C:\Users\user\AppData\Roaming\MyDesktop
Task: {5F76C557-A3DF-4525-8E28-2814C4FA2BBB} - \0915tbUpdateInfo -> No File <==== ATTENTION
FirewallRules: [{E989DAD8-1919-47F9-B2E1-E8E15CA04194}] => (Allow) C:\program files\common files\baidu\bddownload\108\bddownloader.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[texnikamar]

Прикрепляю отчет, после исполнения скрипта Fixlog.txt

Fixlog.txt

[mike 1]

Зашифрованный файл в архиве пришлите.

[texnikamar]

Один из зашифрованных файлов.

Расчет отпускных.doc.rar

21082012726.jpg.rar