Добрый день! На двух компьютерах был пойман шифратор (запустился ночью без участия пользователей на обеих машинах примерно в одно и то же время), зашифровал все файлы расширением [email protected], были изменены все папки, кроме системных, вплоть до ярлыков на рабочем столе. ID везде одинаковый, списался с вымогателем и скинул ему по файлу с каждого компьютера, он прислал их расшифрованными. На одном компьютере через Kaspersky Removal Tool обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором ничего. Nod32 4.2.76.1 молчал, в журнале угроз ничего. Есть возможность как-то расшифровать файлы, или единственный способ сейчас — на свой страх и риск заплатить? Во вложении — пример зашифрованного файла.
----------- по расшифровке файлов, зашифрованных в RSAUtil обращайтесь в [email protected]
В каждой директории находится файл How_return_files.txt со следующим содержанием:
Your documents, photos, databases, save games and other important data was encrypted. Data recovery the necessary interpreter. To get the interpreter, should send an email to [email protected] In a letter to include Your personal ID (see the beginning of this document).
Attention! * Do not attempt to remove a program or run the anti-virus tools * Attempts to decrypt the files will lead to loss of Your data * Decoders other users is incompatible with Your data, as each user unique encryption key
При связи с вымогателем было достаточно прислать пару зашифрованных файлов, чтобы он скинул уже расшифрованные — в доказательство того, что он может их вернуть к первоначальному виду. Я скинул по файлу с разных машин с одинаковым ID, и расшифровали оба.
Заставки не было, судя по всему вирус сработал по-тихому, пришедший с утра пользователь лишь показал, что не может открыть документы.
@Andrey Yakyshev, добавьте образ автозапуска системы, возможно есть в системе еще файлы, по которым можно идентифицировать тип шифратора. + добавьте записку о выкупе.
по очистке системы выполните: (следов шифратора не увидел, зато целая коллекция майнеров трудится.)
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"