12 ответов в этой теме

[Sil-Silent]

Зашифрованы файлы.

Заражение произошло предположительно 16.10.2013 вечером. К утру 4 гига документов уже не открывались.

К сожалению, юзер пытался самостоятельно исправить ситуацию, в результате до меня информация дошла только 17.10.2013 утром.

Имеется экранная заставка, в которой предлагается скачать программу по адресу <deleted> (нижние подчеркивания удалить). Файл заставки в JPG приложен (оригинал был в BMP).

Ничего не делалось, но Microsoft Security Essentials загнал в карантин несколько файлов, теоретически можно извлечь.

Видел, что Cryptolocker есть и в виде трояна. К сожалению, это не наш случай, файлы реально зашифрованы.

Никаких свежих текстовых файлов не нашел, хотя, возможно, не везде еще проверил.

 

Прошу помощи, времени осталось меньше суток, если верить написанному на картинке.

Прикрепленные файлы:

•  Wqwpdvvuiyqr.jpg   95,82К   4 Скачано раз

Сообщение было изменено v.martyanov: 17 Октябрь 2013 - 11:00

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[Sil-Silent]

Проблема с отправкой файлов в лабораторию. Нахожусь не в России, где лучше купить DrWeb?

[Sil-Silent]

Подойдет ли лицензия Dr.Web Home Security Suite?

[maxic]

Sil-Silent, подойдет, конечно.

[HHH]

Подойдет. Но надо понимать, что результат не гарантирован

Сообщение было изменено HHH: 17 Октябрь 2013 - 10:28

[Luka]

Зашифрованы файлы.

Заражение произошло предположительно 16.10.2013 вечером. К утру 4 гига документов уже не открывались.

К сожалению, юзер пытался самостоятельно исправить ситуацию, в результате до меня информация дошла только 17.10.2013 утром.

Имеется экранная заставка, в которой предлагается скачать программу по адресу <deleted> (нижние подчеркивания удалить). Файл заставки в JPG приложен (оригинал был в BMP).

Ничего не делалось, но Microsoft Security Essentials загнал в карантин несколько файлов, теоретически можно извлечь.

Видел, что Cryptolocker есть и в виде трояна. К сожалению, это не наш случай, файлы реально зашифрованы.

Никаких свежих текстовых файлов не нашел, хотя, возможно, не везде еще проверил.

 

Прошу помощи, времени осталось меньше суток, если верить написанному на картинке.

Ссылки на вирус выкладывать нельзя.. 

Сообщение было изменено v.martyanov: 17 Октябрь 2013 - 11:00

[justyou]

Ссылки на вирус выкладывать нельзя..

 

В общем-то цитировать их тоже нежелательно

[v.martyanov]

Наверняка ничего не выйдет.

[Sil-Silent]

Там нет ссылки на вирус. Это просто текст, для сведения. Если не убрать подчеркивания, никто никуда не перейдет.

Файл отправил, со ссылкой на эту тему. К сожалению, номер заявки не скопировал...

[Sil-Silent]

Номер заявки:
...

Сообщение было изменено Borka: 17 Октябрь 2013 - 11:41
суппортный тикет

[justyou]

 

Номер заявки:

Запрос

 

 

Читайте и соблюдайте правила форума, на котором пишете http://forum.drweb.com/index.php?app=forums&module=forums&section=rules&f=2 п.4.11

[Sil-Silent]

К сожалению, пришлось заплатить вымогателю. Сумма составила около 330 долларов.

После этого файлы успешно декодировались.

Тем не менее работой службы поддержки я вполне удовлетворен, реакция была быстрая и общение очень вежливое.

Полученный ключ я передал в лабораторию для анализа, может быть, это кому-то поможет.

Тему можно закрыть.