зашифровано с расширением *id-*_protectdata@inbox.com , Filecoder.DG / Encoder.741

RSS
Получили по электронной почте письмо якобы повестка в суд ссылкой на то, что почту нашу нашли на едином портале государственных услуг, не осторожный специалист поверил и открыл архив, все файла на компьютере и сервере теперь зашифрованы и после расширения файла например: .dos дописано .id-7879484469_protectdata@inbox. Написала в техподдержку ESET NOD часов 5 назад, ответа нет

Ответы

А если как вариант установить Виртуальную машину и запустить на ней это вирус?
Оставить его выполнять код.. он даст какие то контакты и потом попытаться связаться с "вирусописателями"?
Я так понимаю дешифровать без ключа совсем нереально ...
Изменено: Олег МСК - 30.06.2015 16:29:36
Цитата
Изменено: Олег МСК - 30.06.2015 15:30:07
по очистке:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
CHR Extension: (No Name) - C:\Users\Олег Гущин\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2015-06-25]
EmptyTemp:
Reboot:


по виртуальной машине:
используйте vmware или virtualbox
после установки программы создается виртуальная машина под конкретную систему, затем на эту машину ставится данная операционная система.
после установки системы вы можете на ней экспериментировать как угодно.
Цитата
santy написал:
по очистке:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Я так понимаю дешифровать вариантов практически нет без ключа ?
Теневые копии вытащил с "С", но все что было на внешнем диске открываю R-studio .....имена файла как у зашифрованных.
И по очистке по логу все ок ?
Изменено: Олег МСК - 02.07.2015 17:46:17
да, очистку системы можно завершить,
по этой реплике поясните подробнее, что имеете ввиду
Цитата
но все что было на внешнем диске открываю R-studio .....имена файла как у зашифрованных.
Цитата
santy написал:
да, очистку системы можно завершить,
по этой реплике поясните подробнее, что имеете ввиду
Цитата
но все что было на внешнем диске открываю R-studio .....имена файла как у зашифрованных.
Пытался восстановить файлы на внешнем диске (удаленные вирусом, я так понял он их стирает и пишет поверх новый). В удаленных старых-оригинальных файлов нет, в удаленных если восстанавливать все файлы с расширением как у зараженных.  
Цитата
Олег МСК написал:
Пытался восстановить файлы на внешнем диске (удаленные вирусом, я так понял он их стирает и пишет поверх новый). В удаленных старых-оригинальных файлов нет, в удаленных если восстанавливать все файлы с расширением как у зараженных.
файл шифруется, затем зашифрованный файл перемещается на место оригинала, затем уже шифрованный файл с именем оригинала переименовывается так, как это надо злоумышленнику.
в итоге файл оригинала затирается информацией шифрованного файла.
Здравствуйте.Около года назад на ноутбук непонятным путем попал вирус,зашифровавший большинство важных файлов.Требуют 200$,из контактов почта protectdata@inbox.com.Ноутбук не включался около года.Файлы имеют вид "файл.id-1234567890_protectdata@inbox".Вирус больше не действует,проверял разными утилитами.Определяет как Trojan.Encoder.741
по encoder.741 расшифровка должна быть в рВеб. или в ЛК.
Читают тему (гостей: 21)