[ Закрыто ] Зашифрованные файлы

1
RSS
Здравствуйте, сегодня включил компьютер и обомлел. Большинство файлов  под замком. Вид файлов стал  <имя_файла>.<оригинальное_расширение>.<fc5c9642>
А на рабочем столе странное письмо, в котором сказано:

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
Для  этого откройте ярлык 'Онлайн консультант', который находится на рабочем  столе или кликните два раза левой кнопкой мыши на любой зашифрованный  файл.

--------------------------------------------------------------

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3)  Перейдите по ссылке  'http://2hscl4fwxetqdiml.onion/?id=fc5c9642&HashID=bddca1c0476c99872db60acbdf4bf2d0'  в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

ID: fc5c9642
HashID: bddca1c0476c99872db60acbdf4bf2d0

--------------------------------------------------------------

1)  Внимание, 'переустановка/откат' windows не поможет восстановить файлы  но может окончательно их повредить и тогда даже мы не сможем их  восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не  помогут расшифровать файлы, даже если вы купите у них лицензию на 10  лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов  используется AES который был создан в 1998г, за 17 лет никто на планете  земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других  пользователей вам не подойдет, так как у каждого пользователя  уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для  расшифровки файлов.

--------------------------------------------------------------

Коротко  о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в  архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов:
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4)  Если вы 'переустановите/откатите' windows, архив 'Winrar' останется  архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256  символов.

--------------------------------------------------------------

Вы  можете ждать пока кто-то через лет 60 взломает алгоритм шифрования  AES256 и через 60 лет восстановить файлы или же оплатить ключ и  восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard




Прошу помощи
система Win7 64
21:36:08.0834 0x1bdc  Trojan-Ransom.Win32.Rakhni decryption tool 1.14.13.3 Dec  4 2015 19:00:15
21:36:09.0287 0x1bdc  ============================================================­
21:36:09.0287 0x1bdc  Current date / time: 2016/01/11 21:36:09.0287
21:36:09.0287 0x1bdc  SystemInfo:
21:36:09.0287 0x1bdc  
21:36:09.0287 0x1bdc  OS Version: 6.1.7601 ServicePack: 1.0

21:36:09.0288 0x1bdc  ============================================================­
21:36:09.0289 0x1bdc  Initialize success
21:36:12.0042 0x1bfc  Number of worker threads: 8
21:36:31.0964 0x1bfc  Can't get file path
22:18:37.0878 0x1bd4  Deinitialize success
Изменено: макс Сок - 12.01.2016 01:27:35
1. заархивируйте эту папку с паролем infected и вышлите в почту safety@chklst.ru
C:\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N

2. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{04B03789-F773-4378-84AF-4BB6D806C013}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV16.07

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\5PWWKBIQSHYLZ5XCYTMEGM9FC1.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOP AND SAVE UP

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\JHQBHORR5PX2O.EXE

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\NNVZWLOPFYQMIW9RRPC82FRQB.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\UPDATE

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437066801&Z=942524997D6419CB25C6185G5Z4C4M4EEQ7Q8M4B7B&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/NEWTAB/?TYPE=NT&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=51A28F199AD93F8FD8EB22964A6DE445&TEXT={SEARCHTERMS}

deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010037

regt 27
regt 28
regt 29
; GamesDesktop 033.005010035
exec  C:\Program Files (x86)\gmsd_ru_005010035\unins000.exe
; GamesDesktop 033.005010036
exec  C:\Program Files (x86)\gmsd_ru_005010036\unins000.exe
; GamesDesktop 033.005010037
exec  C:\Program Files (x86)\gmsd_ru_005010037\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту safety@chklst.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
1
Читают тему (гостей: 1)