Вирус шифровальщик RR0D

[vvv]

Доброго времени суток. Поймал вирус, который зашифровал все файлы и оставил следующий текст:

--------------------------------------------------------------------------------

    Место для Вашей рекламы

--------------------------------------------------------------------------------

    Вся Ваша информация (документы, базы данных, бэкапы)

    на этом компьютере была зашифрована.

    Для расшифровки обратитесь по нижеуказанным контактам.

    Ни в коем случае не изменяйте файлы!

    И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.

    Каждый дешифратор - уникален, чужой - просто испортит Ваши файлы.

    Благодоря нам - вы можете усилить свою безопасность

    и предотвратить подобные ситуации!

--------------------------------------------------------------------------------

e-mail: rr0d@riseup.net

-----------------------------------

Ваш код для разблокировки: 8504697 

---------------------------------------------------------------

Внимание! В первом письме не прикрепляйте файлы для дешифровки.

Все инструкции вы получите в ответном письме.

--------------------------------------------------------------- 

 

 

Будем очень признательны за помощь в расшифровке файлов.

CollectionLog-2017.01.04-19.16.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vvv]

Если на нескольких машинах этот вирус отработал, необходимо с каждой снимать эти данные или в дальнейшем подойдет для всех?

Addition.txt

FRST.txt

[mike 1]

1 компьютер - 1 тема. Инструкции индивидуальны для каждого компьютера.

 

 

2017-01-04 04:01 - 2017-01-04 04:01 - 00002138 _____ C:\Users\Admin\ПРОЧТИ_МЕНЯ.txt

Войдите под учеткой Admin и сделайте логи FRST из под нее.

[vvv]

Из под админа

Addition.txt

FRST.txt

[mike 1]

В журналах Windows смотрите что запускали 1 января примерно в 4 утра. Шифровальщика запускали удаленно через RDP. Без самого шифровальщика думаю шансов у вас никаких нет.

[vvv]

А можно получить дешифратор из вот этой темы https://forum.kasperskyclub.ru/index.php?showtopic=51068, попробовать. вдруг сработает. Хуже уж точно не будет. 

Изменено 6 января, 2017 пользователем vvv

[mike 1]

Там ключи индивидуальные в каждом случае. А повредить файлы чужим дешифратором как нечего делать, потому нет.

[vvv]

Наши программисты помучают дешифратор попробуют подобрать ключ... Это лучше чем платить. На наш страх и риск. 

[mike 1]

Долго будете подбирать ключи вида *xF&s5ND@gw5UG%9Dlt2Wj3F$nG^cFG#yUD3t*KBlk8UGg6Sag&DKpw#7wsW%cuX^gnEP5gp%9fsST%6