Шифровальщик оставляющий после себя файлы с расширением [aversia@tuta.io]-id-0.payday

[PeterF]

Запустился вирус ночью и зашифровал файлы не только на локальном компе но и расшареные папки на серверах. Оставив после себя файлы с расширением [aversia@tuta.io]-id-0.payday

CollectionLog-2017.10.05-17.27.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

 

Если есть текстовый файл с требованием выкупа - его вместе с парой зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Изменено 5 октября, 2017 пользователем Sandor

[PeterF]

Сделал что просили. В архиве текстовик с требованиями и пара зараженных файлов

aversia@tuta.io-id-0.zip

[Sandor]

Это BTCWare, расшифровки нет.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  2017-10-04 00:45 - 2017-10-04 17:37 - 000013672 _____ C:\Users\infekt1\AppData\Roaming\payday.hta
  2017-10-04 00:45 - 2017-10-04 00:45 - 000000088 _____ C:\!! RETURN FILES !!.txt
  2017-10-04 00:45 - 2017-10-03 00:01 - 000120832 _____ C:\Users\infekt1\Documents\svhost.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Повторите еще раз логи FRST.

[PeterF]

Это виртуальная машинка уже нам не нужна Ее поднимали что бы понять возможно расшифровать файлы которые вирус зашифровал на сервере. Все эту виртуалку можно  удалять.

 

Так и доложу начальнику что файлы расшифровать не возможно.

 

Спасибо!

Изменено 6 октября, 2017 пользователем PeterF

[Рома Гизенко]

Здравствуйте, та же проблема зашифровало сервер, есть ли шанс расшифровки?

 

Fixlog.rar

Addition,FRST,Shortcut.zip

[Sandor]

@Рома Гизенко, здравствуйте!

 

1. Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

2. Скрипты пишутся индивидуально. Выполнение чужих инструкций может Вам же навредить.

[scryde]

Ехх админ вы так мне не дали ответ на вопрос,все таки я рискнул и заплатил,они прислали мне декрипт(файлы я успешно дешефровал,если хотите у меня остался файл декрипта,могу вам выслать возможно это поможет?

[Sandor]

возможно это поможет?

Не поможет. Ключи индивидуальны.

[scryde]

 

возможно это поможет?

Не поможет. Ключи индивидуальны.

 

Жаль,просто мне файлы расшифровало,думал вам дать возможно помогло бы,очень жаль(