Добрый день! Поймали шифровальщик от obamausa7@aol.com. К зашифрованным файлам дописывается расширение id-8401750861446858-obamausa7@aol.com. Образ автозапуска и зашифрованный файл прикрепил к сообщению. Есть ли возможность восстановить информацию?
А вот этот? Это с другого компьютера, но фифратор помоему тот же. И похоже с него началось шифрование и по сети передалось на первый, т.к. время на этом 6:58, а на HP350 7:11.
это подозрительная запись, возможно от шифратора, хотя самого файла сейчас уже нет
Полное имя C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE Имя файла {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
Ссылки на объект Ссылка HKLM\egaxecyom\Software\Microsoft\Windows\CurrentVersion\Run\{39B6FD42-8SKE-838D-9875-3YTA2897936Q} {39B6FD42-8SKE-838D-9875-3YTA2897936Q}C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.exe
да, скорее всего это было тело шифратора, потмоу что вот этот файл является скорее всего файлом заставки
Полное имя C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP Имя файла {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP Тек. статус в автозапуске
Сохраненная информация на момент создания образа Статус в автозапуске Размер 614654 байт Создан 10.12.2015 в 07:21:11 Изменен 10.12.2015 в 07:21:11 Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка SHA1 8C59DF408CA3A1E7F51209F7EF3C73F9FE403B07 MD5 AA48366134FBF6F44C28C588A65B739F
Ссылки на объект Ссылка C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Очистил скриптом и перезагрузился. Заново запустил uVS STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE и {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP удалились. Кстати картинка {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP во вложении, в ней тест сообщения.
Вот что они просят: Good day! We have encrypted your computer to indicate on the vulnerabilities and holes in Your system security! Company specializing in the search of exploits (vulnerabilities in a simple way) charge for their services tens of thousands of euros! We , as remuneration, will ask you if you pay 1BTC today, but tomorrow the price will increase up to 3BTC. As pay, will send you a program that will return everything as it was. To guarantee I can decrypt two file .please take me two file one file with original name two file original name.id-(your id)-obamausa7@aol example one file original name - (example.rar) two file (example.rar.id-0052453152592237-obamausa7@aol.com) Thereby we will show You that our intentions are more than serious. The instructions will receive after payment 1BTC. After payment please Send the decoder, which will return all as was. https://localbitcoins.com/faq Read the paragraphs 1.How to buy bitcoins?2.How to send bitcoins and I can pay by bitcoins after their purchase? Bitcoins buys here https://localbitcoins.com/ our purse 1BcnwEG1cGLGQ2noSPy9cbMZx3mTuoQqUf 2wallet(spare):1EnSX9yixzT7fwhPtzVys2sh7W5a5Q14Ms