вирус шифровальщик email-iizomer@aol.com.ver-CL 1.3.0.0.id-.....

[Lelen4ik]

Здравствуйте.

На почту пришло письмо от Владислава Никонова с адреса  <sec.email@stroyka-uk.biz> с просьбой подписать договор на поставку. 

Письмо сохранено.

 

После того, как получатель письма открыл вложенный файл, чтобы посмотреть текст договора и понять что от него хотят, произошло шифрование файлов на всех дисках. На рабочем столе появились обои с требованием в течении недели написать по указанному адресу, иначе файлы восстановлению подлежать не будут.

 

Возможно ли восстановление данных? 

Заранее спасибо за ответ.

CollectionLog-2016.06.23-15.26.zip

Изменено 23 июня, 2016 пользователем Lelen4ik

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Lelen4ik]

Скачала, правда сохранила не на рабочем столе... Просканировала. Прикрепляю отчёты.

Addition.txt

FRST.txt

Изменено 23 июня, 2016 пользователем Lelen4ik

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "D:\"

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "E:\"

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [InstallUpdate] => 0

SearchScopes: HKLM -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}

SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}

SearchScopes: HKLM-x32 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}

SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3890244087-701146304-2932538720-500 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE

SearchScopes: HKU\S-1-5-21-3890244087-701146304-2932538720-500 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}

2016-06-07 20:00 - 2016-06-07 20:00 - 00927422 _____ C:\Program Files (x86)\desk.bmp

2016-06-06 21:37 - 2016-06-07 13:34 - 00000081 _____ C:\Program Files (x86)\TDAKBCKQSC.MDE

2016-06-06 21:29 - 2016-06-06 21:29 - 00000000 ____D C:\Program Files (x86)\note

2016-06-07 20:00 - 2016-06-07 20:00 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2016-06-07 20:00 - 2016-06-07 20:00 - 0149043 _____ () C:\Program Files (x86)\desk.jpg

2016-06-06 21:37 - 2016-06-07 13:34 - 0000081 _____ () C:\Program Files (x86)\TDAKBCKQSC.MDE

zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Lelen4ik]

Вроде получилось, вот:

П.С. архив загрузила через форму.

Fixlog.txt

Изменено 23 июня, 2016 пользователем Lelen4ik

[mike 1]

Пароли меняйте. С расшифровкой не поможем.

[Lelen4ik]

а какие пароли менять?

И ещё, а если у меня сохранился этот заражённый файл и письмо? Это никак не поможет с расшифровкой?

Изменено 23 июня, 2016 пользователем Lelen4ik

[mike 1]

Почта, аська, скайп и т.д.

 

Нет.

[Lelen4ik]

А что делать с письмом и зашифрованными файлами? Просто удалить в корзину?

[mike 1]

Можете копию письма мне на почту отправить.

[Lelen4ik]

Отправила.

Но всё ещё не теряю надежды на восстановление файлов    

[яДмитрий]

Здравствуйте а в чем разница  между email-iizomer@aol.com.ver-CL 1.3.0.0.id   от  email-iizomer@aol.com.ver-CL 1.2.0.0.id  ? 

Изменено 25 июня, 2016 пользователем яДмитрий

[thyrex]

1. Не встревайте со своими вопросами в чужую тему (у Вас 2 сообщения - и оба в чужих темах). Для подобных вопросов есть Беседка.

 

2. Разница в длине ключа шифрования. 2048 бит для версии 1.2.0.0, 4096 бит для версии 1.3.0.0

[mike 1]

Lelen4ik образец зашифрованного файла мне в коллекцию пришлите.