Trojan.Encoder.7111 Зашифровал все файлы

[Ганс]

На компьютере был переход по ссылке в письме и еще был скачан и открыт скрипт из архива, не знаю после какого события сработал этот блокировщик.

Я проверил компьютер программами Cureit и KVRT, удалил вирусные файлы, проверил автологгером.

Но все документы зашифрованы.

 

Во многих местах создано по 10 файлов readme.txt со следующим содержанием: 

 

readme1.txt:

Bаши фaйлы былu зашuфрованы.

Чmoбы pаcшuфроваmь uх, Bам нeобходимo oтпpавuть koд:

9F4FE9E96179490CB247|0

нa электpонный aдpeс Novikov.Vavila@gmail.com .

Дaлеe вы noлyчите все необхoдимые инcmрукцuи.

Пonыmkи pacшuфроваmь сaмocтoятельно не пpuведуm ни к чeму, kромe безвoзврamнoй поmepu uнфopмaцuu.

Eслu вы вcё же xomuте попыmaться, тo пpeдвариmeльнo сделaйmе рeзeрвные kоnuu файлoв, иначe в слyчаe

uх изменeнuя раcшифрoвka cmaнеm невoзможнoй ни npu kakuх услoвиях.

Если вы не nолyчилu оmвеma по вышеyказанномy адpeсy в течeнuе 48 чacoв (u mольkо в эmом случае!),

вocnользyйmеcь фоpмой обpaтной связu. Это можнo сдeлaть двумя спoсoбами:

1) Скaчайте и усmановume Tor Browser nо ccылke: https://www.torproject.org/download/download-easy.html.en

B aдpeсной cтрокe Tor Browser-a введите адpес:

http://cryptsen7fo43rr6.onion/

u нaжмuте Enter. Заrрузиmcя cтpaницa с фopмой oбратной cвязu.

2) В любом бpayзeре пеpeйдиme nо одному uз адрeсов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

В файл hosts были добавлены ссылки:

61.129.115.198 www.xldd.com

61.129.115.198 www.ojiang.com

61.129.115.198 www.shuixian.net

61.129.115.198 www.xlarea.com

 

Все файлы зашифрованы с расширением .no_more_ransom, я попытался расшифровать их утилитами RectorDecryptor и XoristDecryptor, не получилось, RakhniDecryptor их вообще не видит.

 

Есть шанс расшифровать эти файлы?

 

В системных папках были вирусные файлы "csrss.exe"

Я их заархивировал, прикрепил сюда.

 

 

 

CollectionLog-2016.12.12-09.55.zip

Изменено 12 декабря, 2016 пользователем Sandor
Убрал карантин

[Sandor]

Здравствуйте!

 

Есть шанс расшифровать эти файлы?

Практически - нет.

 

Для очистки следов дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ганс]

Сделал

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3081571122-917982783-996133541-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3081571122-917982783-996133541-1003 -> No Name - {01E04581-4EEE-11D0-BFE9-00AA005B4383} -  No File
Toolbar: HKU\S-1-5-21-3081571122-917982783-996133541-1003 -> No Name - {0E5CBF21-D15F-11D0-8301-00AA005B4383} -  No File
CHR HomePage: Default -> hxxp://mail.ru
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Яндекс) - C:\Documents and Settings\Бухгалтер 2\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2016-12-06]
CHR Extension: (No Name) - C:\Documents and Settings\Бухгалтер 2\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2016-11-01]
2016-12-09 16:27 - 2016-12-12 09:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
2016-12-09 16:27 - 2016-12-09 16:27 - 03932214 _____ C:\Documents and Settings\Бухгалтер 2\Application Data\D0BFE451D0BFE451.bmp
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README9.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README8.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README7.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README6.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README5.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README4.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README3.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README2.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README10.txt
2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README1.txt
2016-12-09 16:03 - 2016-12-12 09:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ганс]

Сделал

Fixlog.txt

[Sandor]

Создайте запрос на расшифровку.

[Ганс]

Этот запрос можно будет создать после приобретения любого из продуктов?

[Sandor]

Да, в FAQ об этом есть.

[Ганс]

Ну я там и прочитал об этом. Заявку можно только на один файл подать или на много файлов?