зашифровано с расширением *filesos*; *backyourfiles*; *.onion@mail.ru_* , Filecoder.NDE

RSS
Ваши файлы зашифрованы.
Расшифровать файлы можно купив дешифратор и уникальный для вашего компьютера пароль.
Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - back_files@aol.com
Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

Теперь все файлы такого типа doc20050817010251.pdf.back_files@aol.com_bM2e8TT

Что нужно предоставить логи что бы мне помогли?

Ответы

Благодарю, обратился в support.
Здравствуйте дорогие друзья!
В общем... человек без опыта сел, за мой компьютер рабочий.
И проверил почту... даже ту, которую нужно игнорировать.
Сегодня пришел, сел... .dwg, .xls, .doc, видео, аудио файлы все зашифрованы.
Не зашифровал pdf. и почту outlook.

Денег не просит.

Вот с таким расширением:
IMG_7221.JPG.filesos@yeah.net_4gz3
Расценки 0-цикл.xlsx.filesos@yeah.net_4gz3
акт на передачу паспорта.docx.filesos@yeah.net_4gz3

Утром заработала программа по изменению параметров MS Office. Не смог остановить.
На компе Eset Nod Antivirus 5 стоит... шифратор пропустил...

Это рабочий комп... у меня здесь инфы целая жизнь. Сразу вспомнил, что я 2 года не делал архивацию файлов.=(

Можно что-то сделать? информация представляет огромную ценность.
cообщение из посты с вредоносным вложением сохранилось?
если да, то перешлите в почту safety@chklst.ru
Изменено: santy - 23.03.2018 11:38:04
Цитата
santy написал:
cообщение из посты с вредоносным вложением сохранилось?
если да, то перешлите в почту safety@chklst.ru
К сожалению это было вчера. Что за файл открывался не могу сказать наверняка((
просто при наличие тела шифратора вероятность расшифровки будет выше,
проверьте есть ли подозрительные письма  с вложением файла (или архива) за вчера, если есть то сколько их.
Изменено: santy - 23.03.2018 11:38:04
+
по восстановлению документов напишите в почту safety@chklst.ru
Цитата
santy написал:
просто при наличие тела шифратора вероятность расшифровки будет выше,
проверьте есть ли подозрительные письма за вчера в вложением, если есть то сколько их.
Я понимаю. В день приходит помногу писем, поэтому ерунду сразу удаляю с концами.
Посмотрел ближайшие 2-5 дней... все чисто.
Сегодня тоже не сразу понял, что пришла беда.
по очистке системы (но не расшифровке документов!) выполните такой скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КИРИЛЛ\APPDATA\LOCAL\TEMP\IS357113909\WEBCONNECT.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 21 Win64/BrowseFox

zoo %SystemDrive%\USERS\КИРИЛЛ\APPDATA\LOCAL\TEMP\IS357113909\UNINSTALLER.EXE
addsgn A7679B19919AF4468194AE59313DEDFA258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 9 Win32/InstallCore.AZ

zoo %SystemDrive%\USERS\КИРИЛЛ\APPDATA\LOCAL\TEMP\IS357113909\CODECPACK.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

; WebConnect 3.0.0
exec C:\Program Files\WebConnect\WebConnectuninstall.exe

deldir %SystemDrive%\PROGRAM FILES\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Удалилаcь прога одна WebConnect... и все.
В карантине Eset посмотрел очень много файлов с различным адресом. Около 100 файлов. Все с именем: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
причина: win32/Filecoder.NDE троянская программа
Это тело вируса или просто объекты с информацией от мошенников?
Изменено: Кирилл Жаворонков - 23.03.2018 11:36:15
Читают тему (гостей: 1)