9 ответов в этой теме

[ArcTour]

Доброго времени суток!

 

 

Придя на работу с утра в понедельник, обнаружили, что появилось окошко с информацией о том, что наши файлы зашифрованы, и для расшифровки нам необходимо пройти на некий веб-сайт.

Бегло окинув рабочий стол, обнаружили, что все  документы MS Office, картинки .jpg и .jpeg, .pdf и т.д. (не зашифровались базы данных 1с 8.2 и некоторые файлы, например, .log, .bmp) зашифрованы, к текущему расширению файлов добавилось расширение ._crypt. В папках, где имеются зашифрованные файлы, появился файл !_READ_ME_.txt следующего содержания:

 

 

Ваши файлы зашифрованы.

Для восстановления файлов, зайдите на страницу:

http ://data-recovery-back-up. com:800

 

Your files was encrypted.

For recovery your files, visit web page:

http ://data-recovery-back-up.com:800

 

=== KEY ===

010200000266000000A4000090EC02B1D7A96DED

740257E9FFD06B512F2F84F848A8BA20BCAABD79

EDE1A07985D5BC426AE0D317F959CE8DE2436385

DFF2C1CD103FE9DD797652552821166B

=== END ===

 

 

Открыв в браузере с осторожностью ссылку, указанную в окошке (_http ://data-recovery-back-up.com:800/), мы обнаружили следующий текст:

 

 

Ваши файлы были зашифрованы криптостойким алгоритмом RSA-2048.
Для их восстановления, Вам необходимо приобрести наш дешифратор.
Для покупки дешифраторa, пополните QIWI кошелек номер 9636436967 на сумму 1000 рублей.
В примечании укажите код 1360002382. Данный код присвоен вашему компьютеру и понадобится для восстановления файлов.
После оплаты и получения нами платежа, Вы сможете скачать дешифратор с этой же страницы.

Если Вы уже произвели оплату, то зайдите на эту страницу через некоторое время, необходимое нам для подтверждения Вашего платежа.

Окошко с сообщением о зашифрованных файлов не закрывается. Как выяснили, окошко это основано на Windows Based Script Host, закрывается по завершению процесса wscript.exe, запущенного от имени пользователя.

 

Лог DrWebSysInfo:   SERVER_user_230614_125029.zip   1,94Мб   3 Скачано раз

Лог HiJackThis:   hijackthis.rar   3,41К   3 Скачано раз

Сканирование антивирусом (Установлен Dr. Web Antivirus for Windows 9) побоялся: вдруг удалит автоматически всё, что могло бы помочь.

Сообщение было изменено ArcTour: 23 Июнь 2014 - 13:18

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу , затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[VVS]

Выполните п. № 3 сообщения № 2 в этой теме.

При этом учтите, что услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.

[Александр1985]

Добрый день товарищи. Меня посетила таже проблема описанная ArcTour (зашифрованы файлы, расширение ._crypt). Прочитав основные правила вашей помощи, так понимаю первое, что я должен сделать - это купить продукт Dr.Web (ранее пользовалься Антивирусом Касперским). Подскажите какой продукт Вашей компании мне нужно покупать ( Dr.Web Security Space (1290 руб.) или Dr.Web Security Space + Криптограф(1548 руб.) или Dr.Web (990 руб.))? Есть ли у вас решения по данной проблеме? Спасибо.

[pig]

Последнего достаточно для обращения. Security Space рекомсендуется, если намерены пользоваться. Криптограф, судя по вопросу, вам не нужен.

[Александр1985]

Добрый вечер. На оф. сайте Dr.Web в разделе Поддержка/Расшифровка файлов (Encoder) отправил запрос (Запрос ****-**** / Действие *******) на оказание помощи в расшифровки файлов с расширением ._crypt. Подскажите пожалуйста этого достаточно или необходимо еще на вашем форуме создать тему или в этой прикрепить необходимые файлы? Спасибо.

Сообщение было изменено pig: 30 Июнь 2014 - 23:07
тикеты техподдержки публиковать нельзя

[pig]

Вся расшифровка - только через техподдержку.

[Cardex]

Ситуация аналогичная как у ArcTour.

 

22.06.2014 На ноутбуке сестры были обнаружены зашифрованые файлы. К текущему расширению файлов добавилось расширение ._crypt.

В папках, где имеются зашифрованные файлы, появился файл !_READ_ME_.txt

 

 

Ваши файлы зашифрованы.
Для восстановления файлов, зайдите на страницу:
http://data-recovery-back-up.com:800

Your files was encrypted.
For recovery your files, visit web page:
http://data-recovery-back-up.com:800

=== KEY ===
010200000266000000A40000FDE8744D4C7783EC
5A6B03AC2E8AC9EF348500E94603B27B239C1E6F
16144B9C8AA7EFF04D34FB727314790E6A2B8594
7BF2E6F8E9BD8D4397D632C753823743
=== END ===

 

По ссылке _http ://data-recovery-back-up.com:800/ в браузере выдало:

 

 

Ваши файлы были зашифрованы криптостойким алгоритмом RSA-2048.
Для их восстановления, Вам необходимо приобрести наш дешифратор.
Для покупки дешифраторa, пополните QIWI кошелек номер ?????????? на сумму 1000 рублей.
В примечании укажите код 387470890. Данный код присвоен вашему компьютеру и понадобится для восстановления файлов.
После оплаты и получения нами платежа, Вы сможете скачать дешифратор с этой же страницы.

Если Вы уже произвели оплату, то зайдите на эту страницу через некоторое время, необходимое нам для подтверждения Вашего платежа.

 

На момент заражения был установлен NOD32. Далее в панике был установлен KIS 2013. После чего была приобретена лицензия Dr.Web Security Space. Обратился в техподдержку(Расшифровка файлов (Encoder)). Приложил скриншоты и содержания карантинов NOD32 и KIS 2013. Так же приложил логи, отчеты согласно требованиям правил и примеры зашифрованых файлов (на некоторые есть незашифрованые копии).
 

Необходимо ли создавать новую тему или достаточно обращения в техподдеержку?

На какой энкодер это похоже и есть ли надежда расшифровать файлы? (Ответ от техподдержки пока ожидаю.)
 

Спасибо!

[SergM]

Необходимо ли создавать новую тему или достаточно обращения в техподдеержку?

Ждите ответ от ТП. По шифровальщикам на форуме только информационная поддержка. Помощь в расшифровке (при наличии реальной возможности таковой) оказывает только ТП и только лицензионным пользователям.

[VVS]

Необходимо ли создавать новую тему или достаточно обращения в техподдеержку?

Достаточно обращения в ТП.

На какой энкодер это похоже и есть ли надежда расшифровать файлы? (Ответ от техподдержки пока ожидаю.)

Вряд ли кто-нибудь, кроме ТП, знает ответ на этот вопрос.