файлы зашифрованы с расширением .crime

RSS
Здравствуйте. поймал вирус. Файлы Excel, Word, и фотографии не открываются. К файлам добавилось  ".crime".

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке http://lmlxhqpsvdylun4v.onion в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

Login: fc8f2838
Password: ad603c6b69b1398001964587d1e819f4
Внимание: выкладывать 'Password' в публичный доступ ЗАПРЕЩЕНО.



Помогите, пожалуйста.

Ответы

Здравствуйте, та же самая проблема. Файлы зашифрованы в расширение .crime
Георгий Ермолаев,
добавьте образ автозапуска системы,
как это сделать, смотрите в подписи
+
добавьте несколько зашифрованных файлов
Изменено: santy - 21.02.2016 18:57:26
Здравствуйте, аналогичная проблема. 15.02.2016г все файлы на компьютере оказались зашифрованы, есть  образцы оригинальных файлов (были на флешке) и соответственно зараженных.
Ирина Власюк,
+
еще и майнер активный
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\RAYDLD\IHPMSERVER.EXE
addsgn 1AF5019A5583338CF42BFB3A8843570D73010D75EFFE1FBF83679AFE5010374423E8F3BF96559D49A046DAC2841249AFF63363375D1DB1887235A4A4C78F6377 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\REPORT.EXE
addsgn A7679B19919AF47E6194AE593C0EEDFA4DD6E396C99290BA70EBAD36E5016726237FEC1818067570E77F7B77F6A0B6057DDFE87255DAB02C2D77A42FC7062273 9 Trojan.PWS.Siggen.29248 [DrWeb]

addsgn BA6F9BB2926FFE6C30D4AEB164C8FA68D184FC1E1106E08715538D3F94FEB2DC765F4AB276D679A96301681F451649B27EC82C93ACB472E8CF0ABDEF02FBF666 8 Win64/BitCoinMiner

zoo %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\SVCHOST.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\NSSM.EXE
delall %SystemDrive%\PROGRAM FILES\UBAR\UBAR.EXE
delall %SystemDrive%\PROGRAM FILES\UBAR\UBARSERVICE.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\HOSTINSTALLER\4129336333_INSTALLCUBE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\REPORT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.2.17058.221

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Здравствуйте, добавляю образ автозагрузки и образцы зашифрованных файлов.
Готово
Георгий Ермолаев,
по первому образу все чисто.
по второму выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref %SystemDrive%\PROGRA~2\IOBIT\SURFIN~1\BROWER~1\ASCPLU~1.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\HELPER@SAVEFROM.NET.XPI

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HEOCQEMK.DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.XPI

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.0.9.1_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION\45.0.2454.103

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Я переустанавливал систему после заражения вирусом. В диспетчере задач отображались файлы encrypter.exe и tor.exe. В автозагрузке - TorProject и UpdateS6bAgdktq12Odnvf. Я их удалил, после чего заражение прекратилось.
Изменено: Георгий Ермолаев - 22.02.2016 19:32:48
в случае шифрования желательно сохранять файл шифратора в каком то виде:
переименовать, добавить в карантин антивируса, откопировать копию и добавить в архив.

при наличие файла шифратора у вирлаба больше шансов получить ключ расшифровки, а для пользователя соответственно больше шансов получить дешифровку файлов.
Добрый день!!! Аналогичная проблема, все файлы с расширением crime, помогите с решением проблемы. За ранее спасибо.
Читают тему (гостей: 2)