Вирус шифровальщик

[Anx]

Добрый день.

На компьютере зашифровались все файлы (расширения файлов стало .hNcrypt). Прошу помочь с расшифровкой. 

CollectionLog-2017.05.17-13.47.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Anx]

Доброе утро.

Выполнил пункты из 2 сообщения и прикрепляю отчеты (на всякий случай еще и записку вымогателей)

 

nifelin создайте тему в соответствии с правилами, а не вклиневайтесь в уже созданные.

FRST.zip

how_to_back_files.html

[thyrex]

C:\Documents and Settings\Я\Мои документы\программа развития ВТК.doc.hNcrypt заархивируйте и прикрепите к сообщению

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellExecuteHooks: No Name - {CC5137A5-0286-4A7B-84A4-C32FE2E83F8F} -  -> No File
ShellExecuteHooks: No Name - {F6A9C779-4730-42F7-9142-432860D0B778} -  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
BHO: No Name -> {CC5137A5-0286-4A7B-84A4-C32FE2E83F8F} -> No File
BHO: No Name -> {F6A9C779-4730-42F7-9142-432860D0B778} -> No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Anx]

Доброе утро.

Прикрепляю отчет Fixlog и зашифрованный файл.

программа развития ВТК.doc.zip

Fixlog.txt

[thyrex]

По информации от зарубежных коллег - это GlobeImposter. C расшифровкой помочь не сможем.

[Anx]

Большое спасибо за помощь. Жаль что расшифровать не получится.

Изменено 22 мая, 2017 пользователем Anx

[IGRYN]

Всем добрый день.

 

Сегодня в 4:23 на 2х наших серверах попал вирус шифровальщик.
Один из сервером полностью зашифрован.

Второй частично.

 

Один из серверов доменный.

 

Зашифровано - .charm 

 

Текст выкупа:

Dear manager, 

your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.

To decrypt files you need to obtain the decryption key and tool. 

All encrypted files ends with .charm 

To obtain the program for this server, which will decrypt all files, you need to write me to email: "fmhir@protonmail.com" 

Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey 

We don't know who are you, All what we need is some money. 

Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again. 

You can use one of that bitcoin exchangers for transfering bitcoin: 

https://localbitcoins.com

https://www.kraken.com 

You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. 

Please use english language in your letters. If you don't speak english then use https://translate.google.comto translate your letter on english language. 

You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.

USERKEY: 

GfEexDmbAA6JQgwgjgSKg8LmuQpbroUqKT9mkgSZvHd2vepokZo7Yn+Amf6dyokZy5kzdcL1q+xBSGYkRsOnOejFruxQjpE89EpnGdbD59dgzrilppLw+pO5MAF3U/6V6n80ODYZQ51MZ0c+C2gLaxkVPMEahpOV50khLxRdL1d67YqWMoEskoVNdlXaeveQV7WR/oPraGcJEpz0DUMlLJ6mioCN47ummDjTccmFDxnzah/H3xRq3t/rRTKb6LDwxlFHlO8LJ22Ph4qNcRPniYLtb2gchUGXSxB1u77b2zAuW3mGBGwrsIL0N4n+qUJ+9bBAeKOz1fhuAgrhlNfURA==

[regist]

@IGRYN, Порядок оформления запроса о помощи
Особенно внимательно пункт №3 прочитайте.