Добрый день,
Ноутбук был поражен вирусом - шифровальщиком. Владелец ноутбука не сразу обратился ко мне, поэтому, к сожалению, не удалось сразу принять меры. Сейчас зашифрованы все подходящие шифровальщику файлы. Шифровальщик превратил все файлы медиа, office, архивы и т.п. Системный раздел и раздел recovery также поражены. Папки некоторые переименованы, некоторые нет.
Файлы получаются с расширением .xtbl
Пользователь один с правами админа и без пароля.
Везде появились readme файлы со следующим текстом:
"
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
52A554E4E9EFA78A3EC6|0
на электронный адрес files1147@gmail.com или post100023@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
52A554E4E9EFA78A3EC6|0
to e-mail address files1147@gmail.com or post100023@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
"
Экран рабочего стола стал черный с красной соответствующей надписью.
Затем была предпринята попытка очистить ноутбук. (Утилиты CureIt, Hijackthis, malwarebytes-anti-malware). После этого было обнаружено, что шифровка больше не идет, удалось поменять фон рабочего стола. Некоторые программы и система в целом работают не стабильно. Некоторые ненужные неработающие программы я удалил, в т.ч. игры, яндекс-браузер, авира free и т.п.
В один момент, после подключения интернета появилось окно в стиле "вы можете обновить свой MS office бесплатно блаблабла, начать загрузку?" и кнопка ок и отмена. Данное окно, согласно диспетчеру задач , создано процессом csrss.exe. Их, кстати, несколько. Остановить его нельзя, вылезает предупреждение и ошибка. Я подозреваю, что именно так он и загрузился.
Сейчас в диспетчере задач висит куча процессов со странными именами(произвольный набор букв и цифр). Но при этом CureIt и malwarebytes-anti-malware ничего не находят. Интернет включаю только для передачи отчетов и т.п.
Прикладываю логи по состоянию на текущий момент!
Прошу помочь в лечении. Заранее огромное спасибо.
По расшифровке, как я понял, сейчас никто не поможет. Думаю испробовать программы, которые восстанавливают удаленные данные с жесткого диска. Это может помочь?
Логи CureIt и DrWeb SysInfo прикрепить не могу, слишком большой пишет. Прикрепляю в .rar