письмо: cчёт от ростелекома. итог: все файлы ******77DDA37.no_more_ransom

[Дормидонд Евлампиевич]

Всем смышлёным ребятам физкульт привет!!

Тётенька на работе получила письмо и всё "что надо" открыла. 

 

-------- Пересылаемое сообщение --------

От кого: Шубин Сергей <pqg@ghe.ru>
Кому: 
Дата: Понедельник, 16 января 2017, 15:07 +04:00
Тема: gсчет
 

Добрый день!

Отправляю счет повторно:

 

 

==============================================================

 

В итоге все файлы документов превратились в шлак с расширением *.no_more_ransom

В корне логического диска десяток файлов README1.txt

С текстом:

===================================

Ваши фaйлы былu зашифрованы.

Чmобы рacшифрoваmь uх, Вам неoбходuмo omnрaвumь kод:

AE6A8345F87DE77DDA37|0

нa элеkmрoнный aдрeс yvonne.vancese1982@gmail.com .

Далее вы пoлyчuтe вcе необходuмые uнcmpуkциu.

Пoпыmku pacшифpовamь caмoстояmельно нe nрuвeдyт ни k чeму, кроме бeзвoзвраmнoй потeрu инфоpмациu.

Ecли вы вcё же хomuтe поnытаmься, то пpедвaрuтeльнo cделaйmе peзeрвные konиu файлов, uначe в cлyчае

uх uзмeненuя раcшuфpовka cmaнет невoзможной нu npи кaкuх yсловuяx.

Ecлu вы нe nолyчилu omвema no вышeуkaзанномy aдресу в теченue 48 чacoв (u тoлько в эmом cлyчae!),

восnoльзуйтeсь фopмой обpaтной cвязu. Это мoжно cделamь двyмя сnосoбaми:

1) Скачайmе и ycmановиmе Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en

B aдрeснoй cтрокe Tor Browser-а введиmе aдpеc:

http://cryptsen7fo43rr6.onion/

и нaжмuте Enter. 3аrpузuтся cmpаница c фopмoй обpamнoй cвязu.

2) B любом бpaузерe nеpейдuтe по oдномy uз адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

===================================

 

.Если будет настроение - большая просьба помочь. Может здоровье сохраним.. 

CollectionLog-2017.01.19-15.42.zip

[mike 1]

И зачем вы открываете письма от неизвестных адресатов?

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Дормидонд Евлампиевич]

И зачем вы открываете письма от неизвестных адресатов?

 

 В данном случае чудовищныи образом получение письма якобы от Ростелекома совпало с ожиданием от них же реальной инфрмации по доступу оплате и тп.. увы..  засада подстерегла... 

FRST.txt

Addition.txt

Изменено 24 января, 2017 пользователем Дормидонд Евлампиевич

[mike 1]

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.

 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
  Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
  2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Дормидонд Евлампиевич]

Fixlog.txt

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.
 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
  Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
  2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
  2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

[mike 1]

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

[Дормидонд Евлампиевич]

 

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

 

Спасибо большое за помощь!