зашифровано с расширением *id-*_blockchain@inbox.com* , возможно, Filecoder.DG

Здравствуйте! Подловили шифровальщик "Текстовый документ.txt.id-4701762356_blockchain@inbox". Во вложении пара файлов.
скорее всего вариант encoder.741

1. добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

2. если сохранилось тело шифратора, или ссылка из адрес скачивания, вышлите в почту safety@chklst.ru
в архиве, с паролем infected
Автозапуск сделал, во вложении.
1. судя по системе (XP) восстановление документов из теневой копии невозможно.

2. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\174.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\TASKHOST.EXE
hide %SystemDrive%\PROGRAM FILES\VENTA\VENTAFAX & VOICE\VFMANAGER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\19887033\19887033.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://BROWSERHELP2.RU

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS
это файл: дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 12.06.2016 12:00:54
На почту отправил файл на который грешим.
Лог во вложении. Пока проблем нет но файлы зашифрованы.
Цитата
по логу скрипта
--------------------------------------------------------
regt 27
--------------------------------------------------------
Удаление всех политик Google Chrome...
RegOpenKeyRead (machine):  [Не удается найти указанный файл. ]
RegOpenKeyRead (user):  [Не удается найти указанный файл. ]
Операция завершена.

по расшифровке документов.
если есть лицензия на наш антивирус, напишите в техподдержку support@esetnod32.ru
если это из семейства encoder.741, то то возможно случай для расшифровки не безнадежный.
Ключ есть. Еще если интересно во вложении текст письма.
Еще вопрос: что написать в письме в техподдержку кроме ключа?
Отправил
в support@esetnod32.ru:
добавить в архиве с паролем infected вирусное тело,
можно добавить текст письма,
+
добавьте несколько зашифрованных файлов разных типов:
к примеру doc, xls, jpg
+
можно указать ссылку на эту тему форума.
Читают тему (гостей: 1)