файлы зашифрованы с расширением .crime

RSS
Здравствуйте. поймал вирус. Файлы Excel, Word, и фотографии не открываются. К файлам добавилось  ".crime".

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке http://lmlxhqpsvdylun4v.onion в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

Login: fc8f2838
Password: ad603c6b69b1398001964587d1e819f4
Внимание: выкладывать 'Password' в публичный доступ ЗАПРЕЩЕНО.



Помогите, пожалуйста.

Ответы

Владимир,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\QDICTIONARY\QDICTIONARY.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SAVEPASS 1.1

delref %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-5.EXE
del %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-5.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-6.EXE
del %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-6.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SENSE

delref %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\F0EXC82.EXE.EXE
del %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\F0EXC82.EXE.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\VIDEO SAVER

delref %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\HFB1ELU.EXE
del %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\HFB1ELU.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOPPERPRO\JSDRIVER\1485.0.0.0

delref {50F4150A-48B2-417A-BE4C-C83F580FB904}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGOMNBPELPCDICBNICIMGHCECEMJPBEF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHHJMIHALFDOCHHINHFOGCIAAFPPFGPJJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMKMHBBGJGKBKPAJMNFEEBDODFCELMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKPPACDMMDDEDIAHKLMCGKGDHHOOJEMMD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOFCKLFFFFGBDGNOIPDOKCCLBHOMKPIE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\PLUGINS\FILESMASH

delref {11111111-1111-1111-1111-110611971195}\[CLSID]
delref {11111111-1111-1111-1111-110711021199}\[CLSID]
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1435054396&FROM=XTAB&UID=8E5931BB6D964F14A155431924C12FA9
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
del %Sys32%\DRIVERS\BDMWRENCH_X64.SYS

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\DF812BAB-1455880995-30C1-8980-20CF3063C5C7\KNSF47D5.TMP

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
del %Sys32%\DRIVERS\TFSFLTX64.SYS

delref %SystemRoot%\SYSWOW64\DRIVERS\BD0001.SYS
del %SystemRoot%\SYSWOW64\DRIVERS\BD0001.SYS

deldirex %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW

del %SystemDrive%\PROGRAMDATA\RWUUCMIEP\REYLKPYVQ3.BAT

delref HTTP:\\MEGAGABEN.RU
regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Не помогло, все сделал по вашей инструкции, все также в конце .crime и также отрывается текстовым сообщением вместо фото.
Сделать заново образ ? и образцы файлов?
Владимир,
для начала почистите систему, крайне замусорена.
скрипт не решает проблему с расшифровкой файлов, только очищает ее от остатков шифратора и других нежелательных файлов.

по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
помогите у меня такая же проблема
Цитата
Данил Суржанский написал:
помогите у меня такая же проблема
добавьте несколько зашифрованных файлов в архиве;
добавьте образ автозапуска системы
Цитата
santy написал:
Цитата
Данил Суржанский   написал:
помогите у меня такая же проблема
добавьте несколько зашифрованных файлов в архиве;
добавьте образ автозапуска системы
эти?
Данил,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEIDJEEFDDHGEFEPLHDLEGOLDLGIODON%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛИНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АЛИНА\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по зашифрованным файлам: когда было шифрование?
если есть аналогичные чистые файлы, добавьте еще и чистые файлы
по поводу зашифровки файлы были зашифрованы этой весной
сервер злоумышленников вам доступен через Tor?
о чем вы?
Читают тему (гостей: 1)