Вирус шифровальщик все зашифровал.

[SC-12]

На почту пришел файл. Открыли, все зашифровало. 
Файлы получили расширение- "BETTER_CALL_SAUL"
-----------------------------------------------------------------------
Логи и зашифрованные файлы прилагаю все в архиве.
-----------------------------------------------------------------------
файл README.txt с требованиями злоумышленников приложить не получилось. Пишу с другого компьютера, антивирус нашел в этом файле вирус. 

Приложение.rar

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 TerminateProcessByName('c:\programdata\windows\csrss.exe');

 QuarantineFile('c:\programdata\windows\csrss.exe','');

 DeleteFile('c:\programdata\windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');

 DeleteFile('C:\Windows\Tasks\PennyBee.job','32');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');

 DeleteFile('C:\Windows\system32\Tasks\SidebarExecute','64');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

[SC-12]

Прикладываю новый лог. Сообщение на почту отправил.
---------------------------------------------------------------------------

 

Вдобавок выкладываю требования злоумышленников. 

Лариса Картамышева <kartamysheva.larisa@gmail.com>

 

 

 Стоимость дешифровки 33000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл, 

никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).

В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. 

Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы

Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.

 

CollectionLog-2016.04.26-09.42.zip

[mike 1]

Аппетиты растут смотрю. 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[SC-12]

Прикрепляю. 

AdwCleanerS2.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[SC-12]

Как понял эти программы для удаления оставшихся вирусов, и рекламных приложений. По поводу расшифровки ждать нечего я понимаю

[mike 1]

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

[SC-12]

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

Лицензия имеется. Но, в техподдержке ответили что-

 

 "По зашифрованным файлам выполнена проверка. К сожалению, восстановление данных, зашифрованных Trojan-Ransom.Win32.Shade, не представляется возможным, вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. 

Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем не удалять зашифрованные файлы и через некоторое время снова обратиться к нам, мы повторно попытаемся расшифровать ваши файлы, например, в июле.

 

 

Во избежание таких ситуаций в будущем крайне важно держать компонент Мониторинг Активности включённым, с ним риск потери файлов сводится к минимуму. Подробнее о механизме работы компонента можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091 

 

К сожалению, это пока всё, что мы можем сделать. Благодарим за понимание." 

------------------------------------------------------------------------------------------------------------

Пробовал с помощью R-Studio файлы выцепить. Но видимо вирус совсем адский все затер.

Вытащил только некоторые файлы word`а, и всякую ненужную хрень)

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

И еще как это "на горячую"? 

Если бы например во время его открытия, т.е он начал шифровать, глушить комп из розетки. Должен же остаться где-то в реестре или еще где алгоритм, по которому он шифрует, его "код" шифрования, если можно так сказать.

Изменено 28 апреля, 2016 пользователем SC-12

[mike 1]

 

 

И еще как это "на горячую"? 

Файлы ваши продолжали шифроваться.