Шифровальщик

[eurospeed]

Поймали шифровальщик. 

 

В текстовом файле написали, что нужно оплатить для расшифровки.

 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

 

Ваш личный идентификатор

6A020000000000007503CB841D91D911C04008425BC203D4FE1B0B9BBF6447E481202B3AB88902B47DBA59A6E6E2120931F6

544926580A4ACCE35DECB0539D650D3B3C98CABBCDF4BA2E55304E195B43945F2D89632FEDB6001704327B0776E4E5EC3657

784A7997B71A08D4E8AEA5E658B4EB594335CD34D5308FB132BA766589A63DD3C6A97EB9D29BAAFB7E584DFCCECCC88AF4CC

0B73EBB86544DD2E77D220B18830C74C0A3715EA2D2259FEC9309211ED38B0F28F9D9D133355F3725E54190670912AFB99C8

1D60EC5B8EE7B7AD2ADEB4C95B2F50B971D2AB9302C7411D57C7A8CBCC353026C823AE61B0D99B43B861B3E116631F2F6BA5

A919FEC69975C35574E7CAD903BF1DB553987273310C673AC9991CC207F0C11B769CBC6CBA794935ADA51314D42FE9BB9D97

F80CE31EB5E5C3FADF2F014BDD837531D199F800

 

Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.

Для восстановления данных необходим дешифровщик.

Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)

В письме укажите Ваш личный идентификатор (см. в начале данного документа).

 

Если связаться через почту не получается

 * Зарегистрируйтесь на сайте http://bitmsg.me(сервис онлайн отправки Bitmessage)

 * Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и

личного идентификатора

 

Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес

Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.

 

Если у Вас нет биткойнов

 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new

 * Приобретите криптовалюту Bitcoin:

   https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)

 * Отправьте требуемое количество BTC на указанный в письме адрес

 

Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.

После запуска программы-дешифровщика все Ваши файлы будут восстановлены.

 

Гарантия расшифровки файлов.

Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки. 

Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.

 

Внимание!

 * Не пытайтесь удалить программу или запускать антивирусные средства

 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных

 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя

уникальный ключ шифрования

 

 

CollectionLog-2018.06.19-09.51.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\INT\MSVFW32.dll','');
 QuarantineFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\fgjokov.dll','');
 QuarantineFile('C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC\tv.dll','');
 DeleteFile('C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC\tv.dll','32');
 DeleteFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\fgjokov.dll','32');
 DeleteFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\INT\MSVFW32.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eqcailz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[eurospeed]

Письмо с файлом quarantine.zip отправили по адресу newvirus@kaspersky.com, ждем ответа.

 

Новый лог прикрепили к сообщению.

KLAN-8251823377

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

MSVFW32.dll - Trojan.Win32.Agent2.jtkr

fgjokov.dll - Trojan.Win32.Dimnie.rg

 

В антивирусных базах информация по присланным вами файлам отсутствует:

tv.dll

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

     

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com https://www.securelist.com"

CollectionLog-2018.06.19-11.03.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[eurospeed]

Прикрепляем файл FRST.txt и Addition.txt

Frst.rar

[thyrex]

TeamViewer 12.0.72365 RePack (& Portable) by elchupakabra сами устанавливали на компьютер?

[eurospeed]

Да.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-06-19 08:38 - 2018-06-19 08:42 - 000002440 _____ C:\Users\Bugrova.GSNNO\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:28 - 2018-06-19 08:43 - 000002440 _____ C:\Users\Bugrova.GSNNO\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-04-26 17:30 - 2018-06-19 10:54 - 000000000 ___HD C:\Users\Bugrova.GSNNO\AppData\Roaming\INT
C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC
Startup: C:\Users\Bugrova.GSNNO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk [2018-05-04]
ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC\TeamViewer.exe (TeamViewer GmbH)
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[eurospeed]

Прикрепляем fixlog.txt

Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем

[eurospeed]

Се ля ви. Все же спасибо за помощь.

[thyrex]

Попробуйте восстановить информацию из теневых копий, если таковые имеются