Добрый день!
Поймали шифровальщик от obamausa7@aol.com. К зашифрованным файлам дописывается расширение id-8401750861446858-obamausa7@aol.com. Образ автозапуска и зашифрованный файл прикрепил к сообщению.
Есть ли возможность восстановить информацию?

Павел,
образ чистый,

по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

А вот этот? Это с другого компьютера, но фифратор помоему тот же. И похоже с него началось шифрование и по сети передалось на первый, т.к. время на этом 6:58, а на HP350 7:11.

это подозрительная запись, возможно от шифратора, хотя самого файла сейчас уже нет


Полное имя                  C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
Имя файла                   {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\egaxecyom\Software\Microsoft\Windows\CurrentVersion\Run­\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}
{39B6FD42-8SKE-838D-9875-3YTA2897936Q}C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.exe

да, скорее всего это было тело шифратора, потмоу что вот этот файл является скорее всего файлом заставки

Полное имя                  C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
Имя файла                   {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      614654 байт
Создан                      10.12.2015 в 07:21:11
Изменен                     10.12.2015 в 07:21:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        8C59DF408CA3A1E7F51209F7EF3C73F9FE403B07
MD5                         AA48366134FBF6F44C28C588A65B739F
                           
Ссылки на объект            
Ссылка                      C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP

по второму образу:
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE delall %SystemDrive%\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

Очистил скриптом и перезагрузился. Заново запустил uVS STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE и {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP удалились.
Кстати картинка {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP во вложении, в ней тест сообщения.

угу, приятная картинка, но лучше не увидеть такую на своем рабочем столе.

Ага. А я и не видел. И не понял сначала откуда вход был, под какой учеткой. Письма никакого не приходило.

Вот что они просят:
Good day! We  have encrypted your computer to indicate on the vulnerabilities and  holes in Your system security! Company specializing in the search of  exploits (vulnerabilities in a simple way) charge for their services  tens of thousands of euros! We , as remuneration, will ask you if you  pay  1BTC today, but tomorrow the price will increase up to 3BTC.
As pay, will send you a program that will return everything as it was.
To guarantee I can decrypt two file .please take me two file
one file with original name
two file original name.id-(your id)-obamausa7@aol
example
one file original name -  (example.rar)
two file   (example.rar.id-0052453152592237-obamausa7@aol.com)
Thereby we will show You that our intentions are more than serious.
The instructions will receive after payment  1BTC. After payment please Send the decoder, which will return all as was.
https://localbitcoins.com/faq
Read the paragraphs 1.How to buy bitcoins?2.How to send bitcoins and I can pay by bitcoins after their purchase?
Bitcoins buys here https://localbitcoins.com/ our purse 1BcnwEG1cGLGQ2noSPy9cbMZx3mTuoQqUf 2wallet(spare):1EnSX9yixzT7fwhPtzVys2sh7W5a5Q14Ms

1BTC это около 30 000 рублей.