файлы зашифрованы с расширением f***** - Форум технической поддержки ESET NOD32

Размещено 11.01.2016 17:03:25

Всем доброго времени суток! Постигла участь и меня попасть в лапы мошенников. Заблокированы файлы (тип шифра "AES256 ") : Word, Excell и фото. Тип файла: "FB67786D" .
Так же в каждой папке файл блокнота: "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ" и просят денег как обычно.
Знающие люди подскажите пожалуйста что делать, очень дороги фото..
PS: сильно не пинайте за новую тему, только зарегистрировался и еще пока не в курсе всех событий.

Изменено: Кирилл Грацианский - 03.07.2019 11:22:29

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.01.2016 18:48:02

Кирилл,
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте по ссылке несколько зашифрованных файлов

[ Как создать образ автозапуска? ]

Размещено 11.01.2016 20:52:10

Цитата
santy написал: Кирилл, 1. добавьте образ автозапуска системы http://forum.esetnod32.ru/forum9/topic2687/ 2. добавьте по ссылке несколько зашифрованных файл Спасибо, что откликнулись. Прикрепил как в инструкции. Заранее благодарю. В архиве фото с моей свадьбы.

Цитата

santy написал:
Кирилл,
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте по ссылке несколько зашифрованных файл

Спасибо, что откликнулись. Прикрепил как в инструкции. Заранее благодарю. В архиве фото с моей свадьбы.

Прикрепленные файлы

SONY_2016-01-11_20-23-17.7z (551.14 КБ)
Свадьба 29.08.2014.rar (27.09 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.01.2016 21:14:27

Кирилл,
вот эту папку заархивируйте с паролем infected и вышлите в почту [email protected]

Цитата
C:\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N

возможно это реинкарнация прежнего варианта шифратора AES256. был такой в прошлом году.

Изменено: santy - 28.05.2016 03:16:24

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.01.2016 21:22:34

по очистке системы выполните это:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE dirzoo %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N deldirex %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N ;------------------------autoscript--------------------------- hide %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\FOXIT SOFTWARE\ADDON\FOXIT READER\FOXITREADERUPDATER.EXE chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFAMIIOPMJJGKNBPONCNGMMLCOIAKDLD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\FOXIT SOFTWARE\ADDON\FOXIT READER\FOXITREADERUPDATER.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFAMIIOPMJJGKNBPONCNGMMLCOIAKDLD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z) отправить в почту [email protected]
------------

по расшифровке файлов надо обращаться в вирлаб [email protected] при наличие лицензии.

[ Как создать образ автозапуска? ]

Размещено 11.01.2016 21:45:11

Не могу отправить Вам на почту, гугл блокирует

Размещено 11.01.2016 22:17:50

Отправил со старого почтового ящика grica2..[email protected].
С этим не могу разобраться "выполняем скрипт в uVS" мне нужно открыть приложение "uvs_snd.exe" ?

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 22:20:38

santy у меня таже проблема что и у кирилла все тоже сделал ключ не подходит тоесть при вводе нечего не меняется при анализе программой вuVS! ПОМОГИТЕ ПОЖАЛУЙСТА!!! все фото все видео все все заблокированно 20 лет жизни.

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 22:34:00

вот оба файла которые надо

Прикрепленные файлы

2marm_20150731.jpg.rar (460.96 КБ)
2016-01-12_00-01-27_log.txt (26.31 КБ)

Размещено 11.01.2016 22:48:51

С этим всем разобрался, скопировал и вставил с буфера обмена, жду перезагрузки.
Что-то получилось, прикрепляю файл:

Прикрепленные файлы

2016-01-11_23-16-46_log.txt (24.82 КБ)

Изменено: Кирилл Грацианский - 28.05.2016 03:16:24

файлы зашифрованы с расширением f***** , Filecoder.AO/ на рабочем столе Онлайн консультант