Перейти к содержанию

файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048


Рекомендуемые сообщения

Доброго времени суток!

Через почту поймал зверя - файл вложения с расширением .exe.

Прописался во всех папках диска С, на других дисках его пока не вижу?

Файл - !!!!!!!!Как восстановить файлы!!!!!!!.txt пишет:

"Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 

Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com 

Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR 

и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. 

Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"

 

некоторые файлы на диске С с расширением _blocked

 

Шаги с использованием: adwcleaner_6.030 и FRST делал сам, полученные файлы прикрепляю.

 

Прошу Вашей помощи.

PS.Файл с логами сейчас вышлю.

AdwCleanerS1.txt

AdwCleanerC0.txt

FRST.txt

Addition.txt

CollectionLog-2016.11.16-23.38.zip

Изменено пользователем ДмитрийПК
Ссылка на комментарий
Поделиться на другие сайты

Строгое предупреждение от модератора thyrex
У Вас нет прав оказывать расширенную помощь в этом разделе
Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Run: [Netprotocol] => C:\Users\Дима\AppData\Roaming\netprotocol.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Userinit] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Shell] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue1.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue2.bin [2016-11-15] ()
OPR Extension: (AS Magic Player) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-07-26]
OPR Extension: (adblockforopera) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\olbflnbnnpnbcnpmfffikmlfojhflkjj [2013-11-30]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.oursurfing.com/?type=sc&ts=1441993566&z=62d9caae127d2f68e216d16gazcz8gat9tbc5w1w7z&from=age&uid=ST500DM002-1BD142_W2A38SXYXXXXW2A38SXY
S3 4F97BA39A95205F2; \??\C:\Users\1F43~1\AppData\Local\Temp\C013A1C2F.sys [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-11-15 19:20 - 2015-09-11 22:49 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d
2016-11-15 19:20 - 2015-09-11 22:39 - 00000000 ____D C:\Program Files\489184df-769b-4e5a-be64-3ae51fce433d
Task: C:\Windows\Tasks\REGYg1S0A1hC1VFnj0W9E.job => C:\Users\����\AppData\Roaming\REGYg1S0A1hC1VFnj0W9E.exe <==== ATTENTION
Task: C:\Windows\Tasks\Xe2LxsAjvrhV6h0.job => C:\Users\����\AppData\Roaming\Xe2LxsAjvrhV6h0.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Run: [Netprotocol] => C:\Users\Дима\AppData\Roaming\netprotocol.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Userinit] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Shell] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue1.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue2.bin [2016-11-15] ()
OPR Extension: (AS Magic Player) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-07-26]
OPR Extension: (adblockforopera) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\olbflnbnnpnbcnpmfffikmlfojhflkjj [2013-11-30]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.oursurfing.com/?type=sc&ts=1441993566&z=62d9caae127d2f68e216d16gazcz8gat9tbc5w1w7z&from=age&uid=ST500DM002-1BD142_W2A38SXYXXXXW2A38SXY
S3 4F97BA39A95205F2; \??\C:\Users\1F43~1\AppData\Local\Temp\C013A1C2F.sys [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-11-15 19:20 - 2015-09-11 22:49 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d
2016-11-15 19:20 - 2015-09-11 22:39 - 00000000 ____D C:\Program Files\489184df-769b-4e5a-be64-3ae51fce433d
Task: C:\Windows\Tasks\REGYg1S0A1hC1VFnj0W9E.job => C:\Users\����\AppData\Roaming\REGYg1S0A1hC1VFnj0W9E.exe <==== ATTENTION
Task: C:\Windows\Tasks\Xe2LxsAjvrhV6h0.job => C:\Users\����\AppData\Roaming\Xe2LxsAjvrhV6h0.exe <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Добрый день. Сделал, отправляю лог. Что дальше с системой? с шифрованными файлами? Удалять хвосты зверя в виде txt. bin файлов (типа keyvalue.bin)? Они например сами запускаются при открытии файлов xls: получается запускается сам файл оригинал и иксел-файлы вируса.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не поможем. Для удаления текстовых файлов от шифратора можете использовать эту https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip программу. 

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не поможем. Для удаления текстовых файлов от шифратора можете использовать эту https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip программу. 

 

Спасибо большое Майкл!

И все-таки система сейчас безопасна? Тело вируса уничтожено? Остались только безвредные хвосты? Или вирус "дремлет" и может продолжить шифрование файлов.

Я к сожалению не спец по компам, а хотелось бы знать мнение эксперта в этом вопросе. Да и вредоносное письмо, это я Вам на почту вчера сбрасывал от arta-lex.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DimonD
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Andruis
      От Andruis
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровали определенные сервера.
      На каждом сервере свой ID номер в файле выкупа, exe файлы не затрагивал шифровальщик.
      Есть исходники, нашли на сервере,  с которого запускали все.
      Подскажите пожалуйста, можно их расшифровать? 
      Пароль на архив infected
      files.zip Restore_Your_Files.txt
    • Musashi
      От Musashi
      Ночью были зашифрованы все файлы на компьютере с именем *.thaihorsefuckers@onionmail.org, есть ли возможность расшифровать? Утилиты с noransom не помогают
      files.rar
    • Shk
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • Edik
      От Edik
      Зашифрованы файлы. Видимо компьютер должен был перезагрузиться, но не перезагрузился. Поэтому были обнаружены:
       
      1 - Антивирус (Kaspersky Free) был неактивен. Значки были серенькими, он не запущен в трее.
      2 - На рабочем столе незавершенное окно командной строки как результат работы утилиты "local.com"
       
      Пока компьютер не перезагружался, с неактивным антивирусом было выполнено полное сканирование утилитой Cure.IT Drweb. Она обнаружила файл "1с_1.com" как "trojan encoder 3953"
      После перезагрузки антивирус (Kaspersky Free) обнаружил и уничтожил вредоносные файлы, шифровальщик "1с_1" и какую то служебную утилиту "local.com".
       
      В соотствии с рекомендациями сформирован лог файл и приложен к сообщению.
       
      зашифрованные файлы имеют вид: "Kaspersky Passwords.lnk.id-445F014D.[imdecrypt@aol.com].IMI"
×
×
  • Создать...