Пришло письмо такого содержания:
Тема:
Проверка налоговой
Дата:
Thu, 12 Feb 2015 13:17:03 +0200
От:
Joseph Polubinsky <info.slc.spb@mail.ru>
Кому:
Уважаемые коллеги,
При проведении налоговой проверки, проверяющие истребовали первичные документы, касающиеся нашей с Вами работы.
К сожалению, мы уже несколько дней не можем найти несколько актов приема-передачи и оригинал договора, заключенного в 2013 году.
Просим ознакомиться с запросом налоговой службы (текст - во вложении) и проверить наличие указанных в нем документов.
Если Вы их отыщете, вышлите нам документы.
Большое спасибо.
--
Sincerely,
Joseph Polubinsky
Special Logistic Company Ltd.
Phone/fax: +7 812 430-42-67
Phone: +7 812 430-43-39
К нему приаттачен zip, в зипе - js, его, конечно-же, запустили. Скрипт закачивает в %TEMP% всё нужное для работы, потом шифрует файлы doc, xls, jpg, docx, xlsx. (возможно, ещё какие-то). Там же создаёт лог работы, ключ и сообщение:
All your important data have been encrypted into LOCAL DIGITAL VAULT
You need to get your UNIQUE KEY to restore files with extension .vault
THE PROCEDURE FOR OBTAINING YOUR PERSONAL KEY:
BRIEFLY
1. Access our secure website
2. Get your personal key
3. Unlock files
DETAILED
STEP 1:
Download Tor browser from official site:
Instructions for launching Tor browser:
STEP 2:
Visit our web resource using Tor browser:
If you CAN NOT access this website, read this:
STEP 3:
Find your personal VAULT.KEY on computer, it's your key for accessing Client Panel
Log into your personal fully automated Client Panel via VAULT.KEY
Read FAQ carefully in the relevant section.
STEP 4:
After receiving key, you can decode your files using our open source software.
ADDITIONAL
a) You can't restore encrypted files without your personal key (which is securely stored on our server)
Do not forget about TIME. Usually it plays against you.
ENCRYPT TIME: 12.02.2015 (15:56)
Прилагаю лог работы CureIT, зашифрованный файл https://yadi.sk/d/X4Hj2jDyedjmQ, данные по машине - на Яндексдиске, сюда не приаттачились: https://yadi.sk/d/Bahuo1mRedmpy. Также даю ссылку на содержимое %TEMP% с поражённой машины:
Прикрепленные файлы:
Сообщение было изменено VVS: 12 Февраль 2015 - 22:04
"Нехорошие" ссылки убрал