файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048

[ДмитрийПК 0]

Доброго времени суток!

Через почту поймал зверя - файл вложения с расширением .exe.

Прописался во всех папках диска С, на других дисках его пока не вижу?

Файл - !!!!!!!!Как восстановить файлы!!!!!!!.txt пишет:

"Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 

Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com 

Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR 

и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. 

Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"

 

некоторые файлы на диске С с расширением _blocked

 

Шаги с использованием: adwcleaner_6.030 и FRST делал сам, полученные файлы прикрепляю.

 

Прошу Вашей помощи.

PS.Файл с логами сейчас вышлю.

AdwCleanerS1.txt

AdwCleanerC0.txt

FRST.txt

Addition.txt

CollectionLog-2016.11.16-23.38.zip

Изменено 16 ноября, 2016 пользователем ДмитрийПК

[thyrex 1 468]

Правила оформления запроса о помощи

[ДмитрийПК 0]

Правила оформления запроса о помощи

 

прикрепляю к следующему сообщению логи

CollectionLog-2016.11.16-23.38.zip

[Алексей Игуменов 67]

Строгое предупреждение от модератора thyrex

У Вас нет прав оказывать расширенную помощь в этом разделе

Изменено 16 ноября, 2016 пользователем thyrex

[mike 1 1 093]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Run: [Netprotocol] => C:\Users\Дима\AppData\Roaming\netprotocol.exe

HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Userinit] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe

HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Shell] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe <==== ATTENTION

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-11-15] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-11-15] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue1.bin [2016-11-15] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue2.bin [2016-11-15] ()

OPR Extension: (AS Magic Player) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-07-26]

OPR Extension: (adblockforopera) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\olbflnbnnpnbcnpmfffikmlfojhflkjj [2013-11-30]

StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.oursurfing.com/?type=sc&ts=1441993566&z=62d9caae127d2f68e216d16gazcz8gat9tbc5w1w7z&from=age&uid=ST500DM002-1BD142_W2A38SXYXXXXW2A38SXY

S3 4F97BA39A95205F2; \??\C:\Users\1F43~1\AppData\Local\Temp\C013A1C2F.sys [X]

S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]

2016-11-15 19:20 - 2015-09-11 22:49 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d

2016-11-15 19:20 - 2015-09-11 22:39 - 00000000 ____D C:\Program Files\489184df-769b-4e5a-be64-3ae51fce433d

Task: C:\Windows\Tasks\REGYg1S0A1hC1VFnj0W9E.job => C:\Users\����\AppData\Roaming\REGYg1S0A1hC1VFnj0W9E.exe <==== ATTENTION

Task: C:\Windows\Tasks\Xe2LxsAjvrhV6h0.job => C:\Users\����\AppData\Roaming\Xe2LxsAjvrhV6h0.exe <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[ДмитрийПК 0]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Run: [Netprotocol] => C:\Users\Дима\AppData\Roaming\netprotocol.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Userinit] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Shell] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue1.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue2.bin [2016-11-15] ()
OPR Extension: (AS Magic Player) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-07-26]
OPR Extension: (adblockforopera) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\olbflnbnnpnbcnpmfffikmlfojhflkjj [2013-11-30]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.oursurfing.com/?type=sc&ts=1441993566&z=62d9caae127d2f68e216d16gazcz8gat9tbc5w1w7z&from=age&uid=ST500DM002-1BD142_W2A38SXYXXXXW2A38SXY
S3 4F97BA39A95205F2; \??\C:\Users\1F43~1\AppData\Local\Temp\C013A1C2F.sys [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-11-15 19:20 - 2015-09-11 22:49 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d
2016-11-15 19:20 - 2015-09-11 22:39 - 00000000 ____D C:\Program Files\489184df-769b-4e5a-be64-3ae51fce433d
Task: C:\Windows\Tasks\REGYg1S0A1hC1VFnj0W9E.job => C:\Users\����\AppData\Roaming\REGYg1S0A1hC1VFnj0W9E.exe <==== ATTENTION
Task: C:\Windows\Tasks\Xe2LxsAjvrhV6h0.job => C:\Users\����\AppData\Roaming\Xe2LxsAjvrhV6h0.exe <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Добрый день. Сделал, отправляю лог. Что дальше с системой? с шифрованными файлами? Удалять хвосты зверя в виде txt. bin файлов (типа keyvalue.bin)? Они например сами запускаются при открытии файлов xls: получается запускается сам файл оригинал и иксел-файлы вируса.

Fixlog.txt

[mike 1 1 093]

С расшифровкой не поможем. Для удаления текстовых файлов от шифратора можете использовать эту https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip программу. 

[ДмитрийПК 0]

С расшифровкой не поможем. Для удаления текстовых файлов от шифратора можете использовать эту https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip программу. 

 

Спасибо большое Майкл!

И все-таки система сейчас безопасна? Тело вируса уничтожено? Остались только безвредные хвосты? Или вирус "дремлет" и может продолжить шифрование файлов.

Я к сожалению не спец по компам, а хотелось бы знать мнение эксперта в этом вопросе. Да и вредоносное письмо, это я Вам на почту вчера сбрасывал от arta-lex.

[mike 1 1 093]

Системой можно пользоваться. Новые файлы уже шифроваться не будут.