зашифровано с расширением *filesos*; *backyourfiles*; *.onion@mail.ru_* , Filecoder.NDE

RSS
Ваши файлы зашифрованы.
Расшифровать файлы можно купив дешифратор и уникальный для вашего компьютера пароль.
Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - back_files@aol.com
Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

Теперь все файлы такого типа doc20050817010251.pdf.back_files@aol.com_bM2e8TT

Что нужно предоставить логи что бы мне помогли?

Ответы

Пред. 1 ... 6 7 8 9 10 ... 12 След.
Пришло письмо из налоговой!!! (типа) После файлы зашифровались, есть-ли возможность,  помогите расшифровать файлы.

фаил загрузки прикреплен.


заранее спасибо.
1. настройки прокси в браузерах сами прописывали? если нет, то скорее всего троянский прокси.

Цитата
Полное имя                  HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Имя файла                   HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://ecastats.com/rows/unimported2.rui
                           
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-606747145-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://ecastats.com/rows/unimported2.rui
                           

2. восстановить зашифрованные данные из теневой копии не получится.

3. по расшифровке документов обращайтесь в технические поддержки вирлабов. ДрВеб, ESET, ЛК.
при себе иметь запас терпения, несколько зашифрованных файлов, а так же лицензию на соответствующий антивирус.
Изменено: santy - 02.06.2016 12:59:47
Понятно спасибо.
+
выполните скрипт для очистки от прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI

delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Добрый день, возможно ли дешифровать файлы зараженные backyourfiles@126.com
http://rghost.ru/6z8wXHvYV 2 шифрованных файла и 2 оригинальных.

Теневое копирование не настроено, резервные копии есть только 1/3 зараженных файлов. Лицензия Нод32 есть, лицензии доктора веба нет, вся надежда только на ESET.
Изменено: Антон Собянин - 02.06.2016 16:22:31
добавьте образ автозапуска для проверки системы.
http://forum.esetnod32.ru/forum9/topic2687/
Вот, пожалуйста.
по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\УЧЕБНЫЙ ЦЕНТР\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\УЧЕБНЫЙ ЦЕНТР\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\УЧЕБНЫЙ ЦЕНТР\LOCAL SETTINGS\APPLICATION DATA\WEBALTA TOOLBAR
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL

delref HTTP://SIMSIMOTKROYSIA.RU/

delref HTTP://QIP.RU

; etranslator
exec C:\Documents and Settings\Учебный центр\Application Data\eTranslator\eTranslator.exe" /uninstall
;deltmp
;delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов обращайтесь в техподдержку: support@esetnod32.ru
Изменено: santy - 02.06.2016 16:22:31
В саппорт по расшифровке писал ещё чуть не месяц назад, ответа нет. Вот и решил уже тут написать.
Первый запрос был 2 февраля.
Решил напомнить о себе 12 марта, пришел ответ:
"Здравствуйте, Антон!К сожалению от вирусной лаборатории ответа пока что не поступало."
Я так понимаю что с расшифровкой всё печально?
обратитесь в вирлаб ДрВеб, скорее всего у них есть расшифровка по данному энкодеру, но соответственно нужна для этого лицензия ДрВеба.
по их классификации, это скорее всего Trojan.Encoder.398
Изменено: santy - 02.06.2016 16:22:32
Пред. 1 ... 6 7 8 9 10 ... 12 След.
Читают тему (гостей: 1)