файлы зашифрованы с расширением __AiraCropEncrypted! , NMoreira

RSS
Здравствуйте такая проблема :
каждый файлик  лежащий на жёстком диске имеет подпись ".__AiraCropEncrypted!" после расширения файла и рядом лежит текстовый документ How to decrypt your files в котором
Encrypted Files!

All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.

Making it impossible to recover the files without the correct private key.

If you are interested in getting is key, and retrieve your files

visit one of the link and enter your key;

https://6kaqkavhpu5dln6x.onion.to/

https://6kaqkavhpu5dln6x.onion.link/

https://mvy3kbqc4adhosdy.onion.to/

https://mvy3kbqc4adhosdy.onion.link/

Alternative link:

http://6kaqkavhpu5dln6x.onion

http://mvy3kbqc4adhosdy.onion

To access the alternate link is mandatory to use the TOR browser available on the link

https://www.torproject.org/download/download

Key:

D0809D7FF155EDB518345504C73B507C7A57E23B60D17DEE9F54C27D7143­B3B7


Вот сами файлы

https://cloud.mail.ru/public/HcgU/439QmUCYR

https://cloud.mail.ru/public/Mhhg/2iTRvVgVt
Изменено: POUL UILIAMSON - 02.01.2017 05:48:47

Ответы

хорошо а что именно мне искать?  
ищите исполняемые файлы на момент (в интервале) шифрования, которые были удалены.
exe, com, cmd, js, vbs, bat
я так понимаю скорее всего это этот файл может быть тем файлом который нужен QQ123.EXE ?
Цитата
POUL UILIAMSON написал:
я так понимаю скорее всего это этот файл может быть тем файлом который нужен QQ123.EXE ?
не факт, что именно этот файл,
но вышлите в почту safety@chklst.ru с паролем infected - проверю на виртуалке

по факту проверки троян,
https://www.virustotal.com/ru/file/3ff1f63dcc7e87a837304e1e5d75fb84717b2adefa45c89b­130dbc705f0492b4/analysis/
т.е его в любом случае надо было удалить.
Изменено: santy - 01.11.2016 11:44:36
По AiraCropEncrypted! есть решение от компании Emsisoft
Emsisoft Decrypter for NMoreira
https://decrypter.emsisoft.com/nmoreira
дополнение от F.Wosar:
Just to add a couple of information:

There are three variants out there of the AiraCrop crap. The very first variant is supported by the decrypter currently. The author updated the ransomware shortly after, but his update was insufficient. I haven't updated the decrypter yet, but I will before Christmas. However, the third update fixes the problem of the second variant entirely by moving to a proper and secure mechanism to generate the encryption keys. This secure variant popped up for the first time around December the 8th. So if you were hit before that date, chances are I will be able to help you. In all other cases, without the private keys associated with the campaign, I, unfortunately, won't be able to help you.
-----------
https://www.bleepingcomputer.com/forums/t/629457/airacrop-nmoreira-ransomware-support-topic-airacropencrypted-maktub/page-6#entry4143253
Читают тему (гостей: 4)