Нужна помощь в расшифровке файлов

[Анастасия Мельникова]

После скачивания файла из эл. почты произошло заражение компьютеры вирусом и зашифровка всех файлов. Появился файл с названием keycode.tta и сообщение:  

"Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 

Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com 

Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:

http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. 

Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"

 

Выполнили сканирование ПК и удаление вируса с помощью утелиты Cureit. Попытались расшифровать файлы с помощью утилит: RakhniDecryptor, rectordecryptor, xoristdecryptor. Положительного результата не было.

 

Логи AutoLogger.exe прилагаются.

Ссылка на несколько зашифрованных файлов http://hdd.tomsk.ru/desk/crhhvett

 

Помогите с расшифровкой.

CollectionLog-2016.12.09-15.39.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Анастасия Мельникова]

Сделано

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-07] ()
Startup: C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-07] ()
HKU\S-1-5-21-4294312674-2589576259-3965260281-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=profitraf2
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=profitraf2
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=ntg&q=
FF SearchPlugin: C:\Users\nastya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-07]
FF SearchPlugin: C:\Users\nastya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\keycode.tta [2016-12-07]
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=profitraf2
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf2"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
2016-12-07 16:58 - 2016-12-07 16:58 - 00002831 _____ C:\Windows\Tasks\keycode.tta
2016-12-07 16:58 - 2016-12-07 16:58 - 00002831 _____ C:\Windows\System32\Tasks\keycode.tta
2016-12-07 16:58 - 2016-12-07 16:58 - 00000786 _____ C:\Windows\Tasks\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:58 - 2016-12-07 16:58 - 00000786 _____ C:\Windows\System32\Tasks\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\Users\Все пользователи\keycode3.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\Users\Public\keycode.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\Users\Public\Downloads\keycode.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\Users\Public\Documents\keycode2.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\Users\nastya\Documents\keycode0.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\keycode0.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00002831 _____ C:\ProgramData\keycode3.tta
2016-12-07 16:55 - 2016-12-07 16:55 - 00000786 _____ C:\Users\Public\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:55 - 2016-12-07 16:55 - 00000786 _____ C:\Users\Public\Downloads\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:54 - 2016-12-07 16:55 - 00000786 _____ C:\Users\nastya\Documents\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:54 - 2016-12-07 16:54 - 00002831 _____ C:\Users\nastya\Documents\keycode.tta
2016-12-07 16:53 - 2016-12-07 16:55 - 00000786 _____ C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:53 - 2016-12-07 16:53 - 00002831 _____ C:\Users\nastya\Desktop\keycode.tta
2016-12-07 16:53 - 2016-12-07 16:53 - 00002831 _____ C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\keycode0.tta
2016-12-07 16:53 - 2016-12-07 16:53 - 00002831 _____ C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\keycode.tta
2016-12-07 16:53 - 2016-12-07 16:53 - 00002831 _____ C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\keycode.tta
2016-12-07 16:53 - 2016-12-07 16:53 - 00002831 _____ C:\Users\nastya\AppData\Roaming\keycode0.tta
2016-12-07 16:53 - 2016-12-07 16:53 - 00000786 _____ C:\Users\nastya\Desktop\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:53 - 2016-12-07 16:53 - 00000786 _____ C:\Users\nastya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:52 - 2016-12-07 16:53 - 00000786 _____ C:\Users\nastya\AppData\Roaming\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:52 - 2016-12-07 16:52 - 00002831 _____ C:\Users\nastya\AppData\Roaming\keycode.tta
2016-12-07 16:52 - 2016-12-07 16:52 - 00002831 _____ C:\Users\nastya\AppData\LocalLow\keycode.tta
2016-12-07 16:52 - 2016-12-07 16:52 - 00000786 _____ C:\Users\nastya\AppData\LocalLow\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:47 - 2016-12-07 16:55 - 00002831 _____ C:\Users\nastya\AppData\Local\keycode0.tta
2016-12-07 16:47 - 2016-12-07 16:55 - 00000786 _____ C:\Users\nastya\AppData\Local\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:47 - 2016-12-07 16:47 - 00002831 _____ C:\Users\Все пользователи\keycode2.tta
2016-12-07 16:47 - 2016-12-07 16:47 - 00002831 _____ C:\Users\nastya\keycode.tta
2016-12-07 16:47 - 2016-12-07 16:47 - 00002831 _____ C:\Users\nastya\AppData\Local\keycode.tta
2016-12-07 16:47 - 2016-12-07 16:47 - 00002831 _____ C:\Users\nastya\AppData\keycode.tta
2016-12-07 16:47 - 2016-12-07 16:47 - 00002831 _____ C:\ProgramData\keycode2.tta
2016-12-07 16:47 - 2016-12-07 16:47 - 00000786 _____ C:\Users\nastya\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:47 - 2016-12-07 16:47 - 00000786 _____ C:\Users\nastya\AppData\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:04 - 2016-12-07 16:56 - 00002831 _____ C:\Users\Все пользователи\keycode0.tta
2016-12-07 16:04 - 2016-12-07 16:56 - 00002831 _____ C:\Users\Public\Documents\keycode0.tta
2016-12-07 16:04 - 2016-12-07 16:56 - 00002831 _____ C:\ProgramData\keycode0.tta
2016-12-07 16:04 - 2016-12-07 16:56 - 00000786 _____ C:\Users\Все пользователи\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:04 - 2016-12-07 16:56 - 00000786 _____ C:\Users\Public\Documents\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:04 - 2016-12-07 16:56 - 00000786 _____ C:\ProgramData\--------ПРОЧТИ МЕНЯ--------.txt
2016-12-07 16:04 - 2016-12-07 16:04 - 00002831 _____ C:\Users\Все пользователи\keycode.tta
2016-12-07 16:04 - 2016-12-07 16:04 - 00002831 _____ C:\Users\Public\Documents\keycode.tta
2016-12-07 16:04 - 2016-12-07 16:04 - 00002831 _____ C:\ProgramData\keycode.tta
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Анастасия Мельникова]

Сделано

Fixlog.txt

[Sandor]

Следы вымогателя и адвари очищены. С расшифровкой помочь не сможем.

[Анастасия Мельникова]

Есть вероятность расшифровки при создании запроса в личном кабинете?

[Sandor]

Практически, нулевая. Но можете попробовать. До окончания не удаляйте папку C:\FRST

[Анастасия Мельникова]

Спасибо