Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус шифровчик

Shodek
 Поделиться

Рекомендуемые сообщения

Shodek

Shodek

Опубликовано
Опубликовано

Здравствуйте. Поймал вирус, который зашифровал все документы, архивы, фотки. Название файла стало следующего вида <имя файла>.doc.locked. Пробовал утилиту rakhnidecryptor. Результат отрицательный. Появились два файла, это ридми и еще какой-то, которые необходимо отправить злоумышленникам для дешифратора. Можно ли расшифровать данные? Пароль на архив 123

 

!!!README!!!zExy5.rtf

KEY-242BD198-6398-4A1C-B95C-5E02CB97F4AF.rar

Shodek

Shodek

Опубликовано
  • Автор
Опубликовано

По почте пришло письмо. В нем был вордовский файл (счет фактура). После открытия файла были зашифрованы документы, архивы, фотографии. В появившемся файле ридми сказано:

1. Обратиться на почту raaconsult@mail2tor.com

        2. Выслать файл KEY-242BD198-6398-4A1C-B95C-5E02CB97F4AF и несколько ваших файлов для тестовой дешифровки, чтоб убедиться, что у нас действительно есть ключ.

            Файл KEY-242BD198-6398-4A1C-B95C-5E02CB97F4AF находится в корне каждого диска и на рабочем столе, рядом с README.

        3. Заплатить вознаграждение за ключ, переведя деньги в криптовалюте Bitcoin.

О том, как купить Bitcoin за рубли с любой карты - https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html

        4. Получить ключ и программу для расшифровки файлов.

        5. Восстановить Вашу информацию.

Прикрепляю файл протоколов (логов)

Надеюсь на решение проблемы. Спасибо.

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2016.09.27-21.09.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Interessanten
      Расшифровка файла
      Автор Interessanten
      Доброго всем времени суток!
       
      Бухгалтерша открыла письмо от "Налоговой" и после этого зашифровались все файлы. Вот здесь самый нужный файл. Тот ноутбук забрали на чистку "местные" мастера, надеюсь у вас получится мне помочь. 
       
      Заранее благодарю!

       RannohDecryptor,  XoristDecryptor и RectorDecryptor не помогли (
      SATIS RAPORU GENEL 2016.xlsx.zip
    • Yulia_T
      Вирус RAA
      Автор Yulia_T
      Как оказалось не новая история На эл. почту пришло письмо с требованием оплатить просроченный счет, при открытии понеслось - все файлы поменяли расширение на locked. На форуме нашлась похожая тема - делали все по инструкции.
      CollectionLog-2016.08.25-10.29.zip
    • GMK
      Помогите с зашифрованными файлами.locked
      Автор GMK
      Наша организация постоянный ваш клиент, покупаем и обновляем ваше ПО. Но после лечения одного из компьютеров, на файловом сервере переименовались файлы офиса и  JPG на расширение .Locked   Помогите расшифровать или порядок действий. Файл во вложении
      бланк.doc.rar
    • ekalmykov
      Запустили вирус из почты, все файлы получили расширение .locked
      Автор ekalmykov
      Добрый день.
      Юзер получил вредоносное письмо  и не предупредив открыл вложение.
      Вложение было в виде скрипта .js после чего многие файлы получили расширение .locked.
      Нашли компьютер, с которого было произведен запуск и заражение.
      (во вложении virus.zip (пароль - virus) архив с исходным письмом + пару зараженных файлов для примера)
      Также во вложении лог сканирования от AdwCleaner.
      Самое грустное, что в сети есть "Общая папка", куда все пользователи скидывали свои документы (word, excel, pdf), и куда был доступ на запись, соответственно все файлы в общей папке тоже залочены. Юзерам пока дана команда ничего там не трогать и не пытаться запускать\скопировать к себе. Можно ли как-то восстановить эти данные? Другие компьютеры пока не пострадали.
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не прикрепляйте вредоносные файлы на форум. AdwCleanerS0.txt
    • matrixp
      locked
      Автор matrixp
      Здравствуйте !
      У меня точно такая же проблема.
      Пользователь в бухгалтерии получил письмо якобы для проверка бухгалтерских документов с вложением oplata.zip, после чего произошло шифрование файлов MS Office, Jpg, zip, rar. которые получили дополнительное расширение .locked
      Создались файлы в корне диска С, мои документы и на рабочем столе - !!!README!!!8AD5r, KEY-E58137F9-6D77-4E14-8D94-9D7C12325468.
      В README мошенники предупреждают что для расшифровки данных требуется не удалять Кей-файл, а также инструкции для проведения платежа через Bitcoin.
      Зараженный архив пришел с почты: valera.alekseychev.75@mail.ru
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы CollectionLog-2016.09.19-12.00.zip
×
×
  • Создать...