Зашифрованные файлы в формате bomber

[BlackCrossuna]

Извините, наверное без темы вам отправили. С адреса zyryanova@...ru. полностью не буду писать, чтобы не спамили. Если не найдете письмо, завтра перешлю еще раз

[Sandor]

Если не найдете письмо

Нашли, повторять не нужно.

[BlackCrossuna]

Что делать дальше?

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [regsvr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\INT\regsvr.exe [7293280 2013-02-19] (TeamViewer GmbH) <==== ATTENTION
  HKLM\...\Run: [7-ZipPortable] => C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\KRB Updater Utility.lnk [2015-04-22]
  ShortcutTarget: KRB Updater Utility.lnk -> C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe (No File)
  Startup: C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppDownloads.lnk [2016-10-05]
  ShortcutTarget: AppDownloads.lnk -> C:\Program Files\Common Files\AppDownloads\{2283E782-62F9-4859-BBA7-EAA49FBE3B83}.exe (No File)
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-1266060334-2884682229-2574386995-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-1266060334-2884682229-2574386995-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
  CHR HomePage: DFLTUSER -> hxxps://mail.ru/cnt/11956636
  CHR NewTab: DFLTUSER ->  Not-active:"chrome-extension://aaebjepcfidgkojljbgoilgkgklehldj/_locales/en/index.html"
  CHR DefaultSearchURL: DFLTUSER -> hxxp://go.mail.ru/search?q={searchTerms}&fr=xtn8
  CHR DefaultSearchKeyword: DFLTUSER -> mail.ru
  CHR DefaultSuggestURL: DFLTUSER -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  2018-06-19 03:51 - 2018-06-19 03:51 - 000002446 _____ C:\Users\Ольга\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 03:37 - 2018-06-19 03:37 - 000002446 _____ C:\Program Files\Common Files\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 03:36 - 2018-06-19 03:36 - 000002446 _____ C:\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  Task: {31CC2C68-62F7-4EAD-9A52-9062C8C9CF79} - \{82E6E8D3-2F74-4BF8-B3FC-967D16B2F0C0} -> No File <==== ATTENTION
  Task: {441112A7-961F-46D3-ACE9-A440B3D39BF9} - \{747A0E38-218C-44B7-A060-FC983E7EB1AA} -> No File <==== ATTENTION
  Task: {470769EC-0D5A-4CEF-B6A3-86BF2A3D98D5} - \{2283E782-62F9-4859-BBA7-EAA49FBE3B83} -> No File <==== ATTENTION
  Task: {561BF1C8-0D82-4DE5-8F25-88BA12792B73} - \{C6FB88A2-D356-4271-B25E-EF7608C58901} -> No File <==== ATTENTION
  Task: {88EE922A-893B-4A13-926A-8F8B04FC8939} - \{D3E77036-09D5-4EFC-B5B8-C449C3AC0B85} -> No File <==== ATTENTION
  Task: {DC76408F-ACDE-443E-AA1E-B9D3013E8400} - \{664C600E-9103-4425-9BA2-E1F6F6446924} -> No File <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[BlackCrossuna]

1

Fixlog.txt

[Sandor]

Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

Дублирующая ссылка: http://www.cyberforum.ru/viruses-faq/thread1440382.html

[BlackCrossuna]

Дошел до пункта:

Как восстановить предыдущие версии файлов после их повреждения?

 

 

после нажатия применить и ок, должно было вылезти диалоговое окно ?

или где дальше "щелкать правой клавишей мыши" ?

[Sandor]

1. Щелкните правой кнопкой мыши по поврежденному файлу и выберите Свойства

2. Перейдите на вкладку Предыдущие версии

Это делайте.

[BlackCrossuna]

 

1. Щелкните правой кнопкой мыши по поврежденному файлу и выберите Свойства

2. Перейдите на вкладку Предыдущие версии

Это делайте.

 

Где взять поврежденный файл ?

[Sandor]

В проводнике откройте папку, в которой есть зашифрованные (или поврежденные) файлы. Щелкните на таком файле правой кнопкой - Свойства - Предыдущие версии.

[BlackCrossuna]

Предыдущие версии не обнаружены.

[Sandor]

Не повезло. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[BlackCrossuna]

1

1

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18537 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Дата установки обновлений: 2017-02-28 02:36:45

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

HotFix KB4056894 Внимание! Скачать обновления

HotFix KB4056897 Внимание! Скачать обновления

HotFix KB4074587 Внимание! Скачать обновления

HotFix KB4103712 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader X (10.1.16) - Russian v.10.1.16 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

VKMusic 4 v.4.70 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

[BlackCrossuna]

Выходит, ничего сделать с зашифрованными файлами нельзя ? потеряны навсегда ?