locked

[matrixp]

Здравствуйте !

У меня точно такая же проблема.

Пользователь в бухгалтерии получил письмо якобы для проверка бухгалтерских документов с вложением oplata.zip, после чего произошло шифрование файлов MS Office, Jpg, zip, rar. которые получили дополнительное расширение .locked

Создались файлы в корне диска С, мои документы и на рабочем столе - !!!README!!!8AD5r, KEY-E58137F9-6D77-4E14-8D94-9D7C12325468.

В README мошенники предупреждают что для расшифровки данных требуется не удалять Кей-файл, а также инструкции для проведения платежа через Bitcoin.

Зараженный архив пришел с почты: valera.alekseychev.75@mail.ru

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

CollectionLog-2016.09.19-12.00.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[matrixp]

Здравствуйте, файлы указанные Вами загрузил.

Буду ждать дальнейших инструкций

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
FF Homepage: hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.2
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-01-25]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-01-18]
C:\Users\Admin\AppData\Local\Temp\amigo_setup.exe
C:\Users\Admin\AppData\Local\Temp\downloader.exe
C:\Users\Admin\AppData\Local\Temp\GuardMailRu.exe
C:\Users\Admin\AppData\Local\Temp\kkmst.dll
C:\Users\Admin\AppData\Local\Temp\lite_installer.exe
C:\Users\Admin\AppData\Local\Temp\sender.exe
C:\Users\Admin\AppData\Local\Temp\yandex.exe
C:\Users\Admin\AppData\Local\Temp\_is978D.exe
C:\Users\Admin\AppData\Local\Temp\{B0393A19-4463-4EFC-951B-92E653B7EC41}.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[matrixp]

Готово.

Fixlog.txt

[Sandor]

Это была очистка рекламного мусора. С расшифровкой, к сожалению, не поможем.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[matrixp]

Это была очистка рекламного мусора. С расшифровкой, к сожалению, не поможем.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

Спасибо за консультацию !

Тех поддержка Касперского и Др. Веба ответили тоже самое, что расшифровка не возможна ((

Тему можно закрывать

 

[Sandor]

Прикрепите этот файл к своему следующему сообщению

[Нов]

Добрый день, пришло по почте письмо с вложением Word файла, открыли его и всё все файлы Excel теперь не открываются на файле написано  xlsx.locked 

Что делать? Как восстановить резервные копии файла? Мне несколько файлов нужен, хотя бы можно восстановить как то через резервных копии? И как удалить этот вирус? Заранее спс

[Sandor]

@Нов, здравствуйте!

 

Создайте свою тему и выполните Порядок оформления запроса о помощи