Файлы зашифрованы с расширением wnx , Winnix Cryptor

После открытия письма все файлы на ПК зашифровались с расширением .wnx
Поиск по форумам не дал результата. Файлы прикрепил.

Роман,
добавьте образ автозапуска для очистки системы
+
если сохранился первоисточник с шифратором: вложение из почты, скрипт, ссылка - вышлите в почту [email protected] с паролем infected
+
вопрос: откуда прилетел шифратор?
+
проверьте нет ли на зашифрованной системе папки gnupg

судя по зашифрованных файлам используется шифрование gnupg

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3 data: [4096 bits] :encrypted data packet: length: unknown mdc_method: 2 File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3 data: [4096 bits] :encrypted data packet: length: unknown mdc_method: 2 File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak.mdf.wnx

Цитата
:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3 data: [4093 bits] :encrypted data packet: length: unknown mdc_method: 2 File: E:\decrypt\DATA\wnx\1\Образцы\ывапвыапывапвыапвыапвыапывапывап­.png.wnx

При попытке расшифровать файл в GnuPG получаем:

Цитата
gpg: зашифровано ключом RSA с ID F32503F3 gpg: сбой расшифровки: секретный ключ не найден File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx Time: 08.09.2016 10:31:35 (08.09.2016 3:31:35 UTC)

значит, используется шифрование GnuPG, в этом случае вероятность расшифровки близка к нулю,
без приватного ключа (secring.gpg)  RSA с ID F32503F3, эти файлы не расшифровать
----------
крайне интересно получить указанный выше первоисточник.

Цитата
santy написал: infected

Нашел на ПК как сам архив gnupg так и так и папку с таким же названием, отправил на почту [email protected] и прикреплю к сообщению

ок.
шифровали файлы публичный ключом из пары созданной на вашей машине.
а ваш secring.gpg по всей вероятности зашифрован публичным ключом вирусописателей

Цитата
gpg: ключ 18422098: импортирован открытый ключ "winnix <[email protected]>" gpg: Всего обработано: 1 gpg:                 импортировано: 1 - Public keyring updated. - File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.gpg Time: 08.09.2016 16:57:02 (08.09.2016 9:57:02 UTC)

если, это продолжатели дела paycrypt/keybtc/vault то алгоритм у них уже отработанный.
надо искать на диске среди удаленных файл secring.gpg
ну и так же источник шифратора: js из почты, или bat файлы в %TEMP% посмотрите, возможно там что-то осталось после активности шифратора.
--------
secring.gpg в этой папке (gnupg) нулевой, естественно что они затерли этот ключ.

шифровали secring.gpg они подключом 0x91A30D28, по крайне мере, pubring.bak они зашифровали своим подключом.

Цитата
gpg: зашифровано 4096-битным ключом RSA с ID 91A30D28, созданным 25.07.2016      "winnix <[email protected]>" gpg: сбой расшифровки: секретный ключ не найден File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.bak.wnx Time: 08.09.2016 17:15:36 (08.09.2016 10:15:36 UTC)

по содержимому записки о выкупе:

Цитата

Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key. The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure. In order to decrypt the files send your bitcoins to the following address: 13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by

интересно, что на указанный адрес в записке о выкупе уже был перевод
https://blockchain.info/ru/tx/6b899479e68e30955e4f3b2f79aecc3ac92ca1f527bd9d13a­d7544016d99ab0d
Время поступления 2016-06-30 10:26:06

Цитата
1FibYnphZhNn5Yed1rY6cRkNJjNE2sFFoD 1Fq1XiGdJizDfJ25yqyGWbaFmx7G1zPkRH 0.0498757 BTC 13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by 2.05 BTC

Сегодня отправлю все архивы папки gnupg с зараженных ПК. Активность низкая у вируса, значит и дешифратор ждать в ближайшее время не стоит?

Папка есть только на 2 ПК из 3 зараженных. Там где открыли письмо (ранее отправил) и на сервере. Отправил сегодня.

да, сейчас смотрю.
по используемым ключам для шифрования немного позже отпишусь, надо сравнить ключи.
но так же прошу вас посмотреть папку Temp юзера, под которым было шифрование.
интересуют все файлы (js, bat, cmd, exe, vbs, и другие) которые там есть на момент шифрования.
так же можно отдельным архивом выслать. с каждой машины.
+
по второму и третьему компам (если есть), так же надо несколько зашифрованных файлов.
-------
по письмам повторю, что не похоже они на ваш шифратор, там скорее всего задействовано распространение другого шифратора. Locky