[QUOTE]Сергей Лыщик написал:
Специально зарегистрировался, из-за этой темы. Есть информация.К сожалению - пока не утешительная. Мы имеем дело с очередными вымогателями! На самом деле в корневом диске находился неприметный HTML файл. У меня он носит название "yxgcgjl". Далее цитирую текст письма:
" Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.
1. Go to site  [URL=http://torproject.org]http://torproject.org[/URL] .
2. Press 'DOWNLOAD Tor Browser Bundle', install and run it.
3. Now you have Tor Browser. In the Tor Browser open the  [URL=http://zaxseiufetlkwpeu.onion]http://zaxseiufetlkwpeu.onion[/URL]
Note that this server is available via Tor Browser only.
4. Copy and paste the following public key in the input form on server. Avoid missprints.
ME3F6L-ZY44Z2-ECJEDC-ID42E4-OFX6EH-YUJK7S-QCD4XU-VVDQZT
JSWKCF-BWNLVE-PETFDU-RZMEAS-IKTTSW-RZEVQY-SGWZ2Q-73OZXA
PDHQP5-YT5Y6J-R35MU7-3ZBVS7-EGPAC6-VMOSPC-CJ4PUM-WBUQV6
5. Follow the instructions on the server."
Далее идёт перечень зашифрованных файлов. Для тех, кто не знает английского,( как в прочем и я ) привожу приблизительный перевод:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с сильнейшей шифрования и уникальный ключ, генерируемыми для данного компьютера.
Секретный ключ расшифровки хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы платите и получить секретный ключ.
Если вы видите главное окно шкафчик, следуйте инструкциям на шкафчике.
Умничай, это кажется, что вы или ваш антивирус удалил программу шкафчик.
Теперь у вас есть последний шанс для расшифровки файлов.
1. Перейти на сайт  [URL=http://torproject.org]http://torproject.org[/URL] .
2. Нажмите 'СКАЧАТЬ Tor Browser Bundle ", установить и запустить его.
3. Теперь у вас есть Tor Browser. В браузере Tor открыть  [URL=http://zaxseiufetlkwpeu.onion]http://zaxseiufetlkwpeu.onion[/URL]
Обратите внимание, что этот сервер доступен только через Tor Browser.
4. Скопируйте и вставьте открытый ключ следующий в форме ввода на сервере. Избегайте missprints.
ME3F6L-ZY44Z2-ECJEDC-ID42E4-OFX6EH-YUJK7S-QCD4XU-VVDQZT
JSWKCF-BWNLVE-PETFDU-RZMEAS-IKTTSW-RZEVQY-SGWZ2Q-73OZXA
PDHQP5-YT5Y6J-R35MU7-3ZBVS7-EGPAC6-VMOSPC-CJ4PUM-WBUQV6
5. Следуйте инструкциям на сервере.
Не знаю, каких масштабов достигла эта чума, но факт есть факт. Любопытно: HTML-файл в корне диска С у всех носит одинаковое название, или у каждого индивидуальное?[/QUOTE]


А вылечить удалось?

[COLOR=#464646]Файлы зашифрованы Trojan.Encoder.686. [/COLOR]
[COLOR=#464646]Готовой расшифровки в данном случае нет, сейчас идет изучение криптосхемы шифровальщика. [/COLOR]
[COLOR=#464646]По первичному анализу образца трояна-шифровальщика имеем информацию, что расшифровка не появится в ближайшей перспективе, и пока довольно низкие шансы, что появится в дальнейшем. [/COLOR]

[COLOR=#464646]Если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сообщим Вам.
[/COLOR][COLOR=#464646]
[/COLOR]

[COLOR=#464646]Добавлен в вирусную базу Dr.Web: 2014-07-11 - добавлена первая модификация. [/COLOR]

[COLOR=#464646]В данном случае файлы пострадали от новой модификации, которая начала свое распространение в последние 2 дня. [/COLOR]

[COLOR=#464646]Если у нас появится средство для расшифровки, Вы получите его в этом запросе, работы ведутся. [/COLOR]

Я подозреваю, что это новая модификация ранее известного вируса
Суть вопроса - будет ли дешифровщик.

[COLOR=#464646]Trojan.Encoder.686[TABLE][TR][TD][B]Добавлен в вирусную базу Dr.Web:[/B][/TD][TD]2014-07-11[/TD][/TR][TR][TD][B]Описание добавлено:[/B][/TD][TD]2014-07-11[/TD][/TR][/TABLE][CENTER]Техническая информация[/CENTER]Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
[LIST]
[*]%WINDIR%\Tasks\imbdhsd.job
[/LIST]


Изменения в файловой системе:
Создает следующие файлы:
[LIST]
[*]%HOMEPATH%\My Documents\DecryptAllFiles 175546.txt
[*]%HOMEPATH%\My Documents\AllFilesAreLocked 175562.bmp
[*]C:\RECYCLER\S-1-5-21-2052111302-484763869-725345543-1003\desktop.ini
[*]%ALLUSERSPROFILE%\Application Data\Microsoft\wqnwaoa
[*]%TEMP%\greddfe.exe
[*]%HOMEPATH%\My Documents\dpedqad.html
[/LIST]
Присваивает атрибут 'скрытый' для следующих файлов:
[LIST]
[*]%WINDIR%\Tasks\imbdhsd.job
[/LIST]


Другое:
Ищет следующие окна:
[LIST]
[*]ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
[*]ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
[*]ClassName: 'Shell_TrayWnd' WindowName: ''
[*]ClassName: 'Shell_TrayWnd' WindowName: '(null)'
[/LIST]



[/COLOR]

Вот описание нескольких служб:

[COLOR=#464646][COLOR=#555555]Расширение *.ctbl к зашифрованным файлам добавляет первая (и пока единственная) модификация Trojan.Encoder.686. Расшифровка нашими силами, я считаю, невозможна в связи с использованием эллиптической криптографии.
[/COLOR][/COLOR]
[COLOR=#464646]Ответ от DrWeb
[/COLOR]
[COLOR=#464646]
[/COLOR]

Аналогичная проблема. Нужен дешифратор

Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open [URL=http://ohmva4gbywokzqso.onion.cab]http://ohmva4gbywokzqso.onion.cab[/URL] or [URL=http://ohmva4gbywokzqso.tor2web.org]http://ohmva4gbywokzqso.tor2web.org[/URL]
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from [URL=http://torproject.org]http://torproject.org[/URL]

2. In the Tor Browser open the [URL=http://ohmva4gbywokzqso.onion/]http://ohmva4gbywokzqso.onion/[/URL]
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E
QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3
YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC


Follow the instructions on the server.


У кого есть решение?

Аналогичная проблема. Нужен дешифратор

Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open [URL=http://ohmva4gbywokzqso.onion.cab]http://ohmva4gbywokzqso.onion.cab[/URL] or [URL=http://ohmva4gbywokzqso.tor2web.org]http://ohmva4gbywokzqso.tor2web.org[/URL]
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from [URL=http://torproject.org]http://torproject.org[/URL]

2. In the Tor Browser open the [URL=http://ohmva4gbywokzqso.onion/]http://ohmva4gbywokzqso.onion/[/URL]
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E
QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3
YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC


Follow the instructions on the server.