зашифровано с расширением *filesos*; *backyourfiles*; *.onion@mail.ru_* , Filecoder.NDE

RSS
Ваши файлы зашифрованы.
Расшифровать файлы можно купив дешифратор и уникальный для вашего компьютера пароль.
Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - back_files@aol.com
Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

Теперь все файлы такого типа doc20050817010251.pdf.back_files@aol.com_bM2e8TT

Что нужно предоставить логи что бы мне помогли?

Ответы

Пред. 1 ... 3 4 5 6 7 ... 12 След.
вот что получилось
http://rghost.ru/private/67q2FSjWf/2451341693344ad3b6de2d73b98dcd64
Изменено: Захар - 02.06.2016 13:05:39
?
добавьте образ на http://rghost.ru
настройки прокси сами прописывали?

Цитата
Полное имя                  HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
Имя файла                   HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://erinope.com/recfor/today2.ruy
                           
Ссылка                      HKEY_USERS\S-1-5-21-1659004503-1123561945-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://erinope.com/recfor/today2.ruy
                           
Ссылка                      HKEY_USERS\S-1-5-21-1659004503-1123561945-725345543-1017\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://erinope.com/recfor/today2.ruy
                           

судя по проверке на ВирусТотал, ссылка ведет на сайт злоумышленников
https://www.virustotal.com/ru/url/4c3a55d4ae951063d2cc4399394aa634e961679fa7406d778­3f8271fe6dd628c/a...
Изменено: santy - 02.06.2016 13:05:39
Здравствуйте!
Образ
http://rghost.ru/private/7nR7r6TLR/4c409d78ecb34bb4980f543e34df8ec7
Пример расширения файла: backyourfiles@126.com_M4bSdbV
Поможете?
Заранее спасибо!
Да
1. восстановление данных из теневой копии невозможно для вашей системы
Цитата
uVS v3.85 [http://dsrt.dyndns.org];: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]
2. вопрос: файл decoder.exe с рабочего стола помог в расшифровке данных? (судя по цифр. подписи - это файл от Есет)
3. по очистке системы выполните скрипт в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОРОХОВА\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delref HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
delall %SystemDrive%\PROGRAM FILES\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
4. по расшифровке данного типа документов (backyourfiles@126) : если нет расшифровке в ESET обратитесь в другие вирлабы, возможно у них есть расшифровка. в частности в компанию DrWeb.
5. если у вас установлена банковская система, то вполне возможно что через этот прокси следили за работой банковского приложения. имеет смысл менять пароль доступа.
Изменено: santy - 02.06.2016 13:05:39
1. по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\ILIVID
deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\ILIVID
delall %SystemDrive%\PROGRA~1\MOVIES~1\DATAMNGR\MGRLDR.DLL
delall %SystemDrive%\PROGRAM FILES\MOVIES TOOLBAR\DATAMNGR\X64\APCRTLDR.DLL
delref HTTP://WWW.MYSTART.COM/?PR=VMN&ID=ZGAMETB&V=2_0&UTM_CAMPAIGN=6252&ENT=HP_6252
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению зашифрованных данных добавьте в почту safety@chklst.ru id и пароль от Тивьювера. + укажите ссылку на эту тему.
времени немного займет. если возможно восстановление, основную работу вы проделаете самостоятельно, я лишь покажу вам как это сделать
можно сейчас, пока я в сети.
Изменено: santy - 02.06.2016 13:09:20
система чистая,

по восстановлению зашифрованных данных добавьте в почту safety@chklst.ru id и пароль от Тивьювера. + укажите ссылку на эту тему.
Добрый день! Такая же проблема, комп от сети отключен, но некоторые файлы на шаре попортил, образ во вложении.
Пред. 1 ... 3 4 5 6 7 ... 12 След.
Читают тему (гостей: 1)