файлы зашифрованы с расширением f*****, на рабочем столе Онлайн консультант , Filecoder.AO

Всем доброго времени суток! Постигла участь и меня попасть в лапы мошенников. Заблокированы файлы (тип шифра "AES256 ") : Word, Excell и фото. Тип файла: "FB67786D" .
Так же в каждой папке файл блокнота: "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ" и просят денег как обычно.
Знающие люди подскажите пожалуйста что делать, очень дороги фото..
PS: сильно не пинайте за новую тему, только зарегистрировался и еще пока не в курсе всех событий.
Изменено: Кирилл Грацианский - 13.12.2016 05:08:10
Кирилл,
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте по ссылке несколько зашифрованных файлов
Цитата
santy написал:
Кирилл,
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте по ссылке несколько зашифрованных файл


Спасибо, что откликнулись. Прикрепил как в инструкции. Заранее благодарю. В архиве фото с моей свадьбы.
Кирилл,
вот эту папку заархивируйте с паролем infected и вышлите в почту safety@chklst.ru
Цитата
C:\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
возможно это реинкарнация прежнего варианта шифратора AES256. был такой в прошлом году.
Изменено: santy - 28.05.2016 03:16:24
по очистке системы выполните это:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\FOXIT SOFTWARE\ADDON\FOXIT READER\FOXITREADERUPDATER.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFAMIIOPMJJGKNBPONCNGMMLCOIAKDLD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z)  отправить в почту safety@chklst.ru
------------

по расшифровке файлов надо обращаться в вирлаб support@esetnod32.ru при наличие лицензии.
Не могу отправить Вам на почту, гугл блокирует  
Отправил со старого почтового ящика grica2..9@mail.ru.
С этим не могу разобраться "выполняем скрипт в uVS"  мне нужно открыть приложение "uvs_snd.exe" ?
santy у меня таже проблема что и у кирилла все тоже сделал ключ не подходит тоесть при вводе нечего не меняется при анализе программой вuVS! ПОМОГИТЕ ПОЖАЛУЙСТА!!! все фото все видео все все заблокированно 20 лет жизни.
вот оба файла которые надо
С этим всем разобрался, скопировал и вставил с буфера обмена, жду перезагрузки.
Что-то получилось, прикрепляю файл:
Изменено: Кирилл Грацианский - 28.05.2016 03:16:24
Читают тему (гостей: 1)