4 ответов в этой теме

[Service_In]

 DrWebSysInfo.log   56К   1 Скачано разДоброго времени суток, нужна помощь специалистов.

По электронной почте пришло письмо, содержащее вредоносный скрипт, который по неосторожности(невнимательности или незнанию) запустил сотрудник.

После этого спустя некоторое время файлы типа doc,xls,pdf,rar и проч.

Текст сообщения , которое разбрасывается по системе под катом 

 

 

Здравствуйте. Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024 

1) Это инструкция, которая поможет понять и решить Вашу проблему.

2) Для решения данной проблемы нужно объединить наши общие ресурсы:

Наши ресурсы:
- Только мы можем разблокировать файлы
- У нас есть гарантии того, что после оплаты будет передан Ваш уникальный (!) ключ для разблокировки
- Мы можем минимизировать Ваши риски до оплаты и после
- Мы можем предоставить те консультации, которые минимизируют подобные случаи в будущем.

Ваши ресурсы:
- электронная валюта
- e-mail
- немного доверия

3) Мы не из тех, кто шифруют данные, получают средства и затем пропадают. 
В данном случае Вы и вправду имеете возможность разблокировать файлы. Почитайте отзывы в интернете.
Только есть небольшое временное ограничение (срок годности ключа не вечный)

4) У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Скоммуницировать с нами, договориться за разблокировку и вернуть все файлы обратно - вполне правильно

== Почта paycrypt@gmail.com ==

Тех. справка для системных администраторов:

1) Одной из гарантий того, что файлы могут быть дешифрованы, есть наличие дешифратора у Вас.
Поищите на компьютере архив DECODE.zip. Внутри дешифратор с открытым исходным кодом. Попробуйте запустите его.
Вам напишет, что ключ не найден. Вот он Вам и нужен - Приватный ключ (длина 1024 бита).

2) Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера был скопирован специальный ID-файл 'KEY.PRIVATE'. Не потеряйте его!
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он Вам и нужен.
"Временно заблокированы" означает, что файлы побайтово модифицированы публичным 1024 битным RSA ключем.

3) Итак, наши с Вами следующие действия:

7.1. С нами связь держать можно только по электронной почте paycrypt@gmail.com
7.2. В начале Вам необходимо получить гаранти того, что мы можем расшифровать файлы
7.2. Контактируете с нами. Структура Вашего e-mail письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров
7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 150 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe)
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 12-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

Советы:

9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.4. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (в архиве по почте)
9.5. Мы также, осознаем то, что Ваши файлы могут быть очень ценны для Вас, поэтому мы понимаем важность их восстановления.
9.6. В особых случаях, мы пойдем с Вами на компромисс.
9.7. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте Unix системы.

 

На данный момент сделал логи по инструкции, прошу помочь...  DrWebSysInfo.log   56К   1 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Service_In]

почему то сразу не удалось прикрепить, выскакивала ошибка №500.

вот лог от Cureit http://файлообменник.рф/de0idae47t1n.html и Hijackthis http://файлообменник.рф/9kf6krkrkpsr.html

[Service_In]

не могу отредактировать собственное сообщение(

вот лог Куреит http://файлообменник.рф/nccowsrjvuqk.html, по предыдущей ссылке залился лог от СисИнфо...

[pig]

Вам читать и выполнять пункт 3. Учтите, что по этой проблеме помощь оказывают только лицензионным пользователям Dr.Web.