Все ваши файлы зашифрованы AES256

[Alexey Krikun]

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.

 

Для этого выполните следующие действия:

1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en

2) Установите и запустите 'Tor Browser'

3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fbdd781d&HashID=531cae80ed3fce6166e66534f01a5616'в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')

4) Следуйте инструкциям на сайте

 

--------------------------------------------------------------

 

Для авторизации на сайте используйте:

ID: fbdd781d

HashID: 531cae80ed3fce6166e66534f01a5616

 

--------------------------------------------------------------

 

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.

2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.

3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.

4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

 

--------------------------------------------------------------

 

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 

1) Открыть архив можно только введя пароль

2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.

3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.

4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

 

--------------------------------------------------------------

 

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!

https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard

 

 

Прилагаю лог Autologger CollectionLog-2016.02.10-12.49.zip и архив с зашифрованнм файлом IMG_5550.JPG.zip.

Прошу помочь.

 

Изменено 10 февраля, 2016 пользователем Alexey Krikun

[mike 1]

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Alexey Krikun]

Сделал логи.

 

ClearLNK-10.02.2016_14-54.log

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Alexey Krikun]

Сделал.

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Alexey Krikun]

Логи:

FRST.txt

Addition.txt

 

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

GroupPolicy: Restriction - Chrome <======= ATTENTION

BHO-x32: No Name -> {C35B7206-62EB-F808-5475-18A6FDE7DD94} -> No File

BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File

Toolbar: HKU\S-1-5-21-2836425030-3476846890-2607279095-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

CHR Extension: (Поделиться ВКонтакте) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmmemlnpjmfkcddknibchodllhnnidlp [2016-01-17]

CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx

S2 CppWindowsService; C:\Program Files (x86)\filter\2\CppWindowsService.exe [X]

2016-01-17 09:37 - 2016-01-17 09:37 - 00000000 ____D C:\Users\Admin\AppData\Roaming\MailProducts

2016-01-17 09:32 - 2016-02-10 01:21 - 00000000 ____D C:\netfilter2

2016-01-20 22:27 - 2016-01-20 22:27 - 00000000 ____D C:\Users\Admin\AppData\Roaming\extensions

2015-12-25 13:35 - 2016-01-05 08:18 - 00000000 ____D C:\Users\Admin\AppData\Roaming\tor

2015-12-25 13:35 - 2015-12-25 13:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\CryptoDB

2015-12-25 13:29 - 2016-01-05 08:18 - 00000000 ____D C:\Users\Admin\AppData\Roaming\b4e71a9cd2f3ed6323856625e409ba50

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\Users\Все пользователи\czqAwUx

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\Users\Все пользователи\BTeSXFRf

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\ProgramData\czqAwUx

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\ProgramData\BTeSXFRf

2015-12-25 13:26 - 2015-12-25 13:26 - 00000000 ____D C:\Users\Все пользователи\ContentDefender

2015-12-25 13:26 - 2015-12-25 13:26 - 00000000 ____D C:\ProgramData\ContentDefender

2015-12-24 14:09 - 2015-12-26 13:02 - 00000000 ____D C:\Users\Admin\AppData\Roaming\TrackChecker

2015-12-13 15:15 - 2016-02-10 09:12 - 00000884 __RSH C:\Users\Admin\ntuser.pol

2014-09-18 09:16 - 2014-12-09 12:53 - 0000110 ____H () C:\Program Files (x86)\DivXControlPanelLauncher.bat

2014-09-18 09:16 - 2014-12-09 12:53 - 0000110 ____H () C:\Program Files (x86)\DivXConverterLauncher.bat

2013-09-04 20:58 - 2012-09-01 18:03 - 0000144 _____ () C:\Users\Admin\AppData\Roaming\ACEConfigCache2.lst

2013-08-22 17:15 - 2016-01-06 18:07 - 0000532 _____ () C:\Users\Admin\AppData\Roaming\burnaware.ini

2014-09-01 10:18 - 2014-09-01 10:18 - 0001248 ____N () C:\Users\Admin\AppData\Roaming\IWLBEDYT

2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Admin\AppData\Roaming\JGSRF

2013-09-27 11:03 - 2013-03-02 15:39 - 0000053 _____ () C:\Users\Admin\AppData\Roaming\minecraft-goldmods.ru.url

R1 condef; C:\Windows\System32\drivers\condef.sys [56112 2015-12-11] ()

2015-12-13 10:52 - 2015-12-11 22:34 - 00056112 _____ C:\Windows\system32\Drivers\condef.sys

Task: {044BC6CA-ACFA-4255-8B2E-FE64DF8A8D45} - \Update Service for Video Saver -> No File <==== ATTENTION

Task: {09B5D72B-E1DA-4BEC-BA46-45E65C95AB64} - System32\Tasks\Experience Image => Rundll32.exe "C:\Users\Admin\AppData\Local\Experience Image\Bin\ExperienceImage.dll",#3 <==== ATTENTION

Task: {24731738-E4BF-4194-93A5-3979725BE884} - System32\Tasks\{6A4AA5A5-8E55-49CE-A511-E8E08302C294} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cmi

Task: {38183814-A01F-4A9E-9C52-255541D923FB} - System32\Tasks\{C78621BD-AD2E-45C0-AE53-6E078F3F8708} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cornl

Task: {3F55BBC8-8A85-41C0-AA9B-9EF6A4857818} - System32\Tasks\{C71F6995-D850-47DD-8DB8-B46B7E689D7E} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cmi

Task: {55734ED2-F610-4545-A34D-AA39917934BC} - System32\Tasks\{29635EE7-E583-4970-A290-8F8047B40E26} => pcalua.exe -a "C:\Users\Admin\Downloads\files (1).exe" -d C:\Users\Admin\Downloads

Task: {5B5C8743-5FBC-44EC-88EE-EE4DCA91C933} - System32\Tasks\Kit Food => Rundll32.exe "C:\Users\Admin\AppData\Local\Kit Food\xBin\KitFood.dll",#3 <==== ATTENTION

Task: {CA387C81-5E41-4533-88E1-F8B8DF9F71BB} - \Update Service for Video Saver2 -> No File <==== ATTENTION

Task: {FA4D650A-33CA-42D9-BA98-9F410A493266} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION

Shortcut: C:\Users\Public\Desktop\Chivalry - Medieval Warfare.lnk -> E:\Chivalry - Medieval Warfare\Launch.bat ()

hosts:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

[Alexey Krikun]

Лог

Fixlog.txt

[mike 1]

С расшифровкой не поможем.

[Alexey Krikun]

С расшифровкой не поможем.

Совсем ничего нельзя сделать? 

[mike 1]

У меня нет ключа под этот ID. 

[Alexey Krikun]

Есть оригиналы фото и зашифорваные, может это как-то поможет?

[mike 1]

Нет

[Alexey Krikun]

Есть надежда что появиться ключ к этому ID?