Форум esetnod32.ru [тема: зашифровано с расширением id-*_paycrypt@aol.com*] http://forum.esetnod32.ru Новое в теме зашифровано с расширением id-*_paycrypt@aol.com* форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 03:37:29 +0300 зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Сергей,
по образу все чисто.
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
25.02.2016 20:55:51, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91798/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91798/ Thu, 25 Feb 2016 20:55:51 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Образ автозапуска
SERVER1SOPT_2016-02-26_01-09-01.7z
25.02.2016 20:17:58, Сергей Дмитриев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91795/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91795/ Thu, 25 Feb 2016 20:17:58 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Сергей,
добавьте образ автозапуска,
как сделать, смотрите в подписи.
25.02.2016 20:05:43, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91794/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91794/ Thu, 25 Feb 2016 20:05:43 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Зашифрованы файлы расширение .id-9849062729019881-paycrypt@aol.com требований не выдвигалось.
Зашифрованы DOC DOCX XLS XLSX DBF
Остается основной файл с вот таким содержимым {72N6FD42-3SKE-818D-9865-3YAH2897396Y}.id-9849062729019881-paycrypt@aol.com и появляется рядом шифрованный файл с расширением paycrypt@aol.com
Установлен лицензионный антивирус.
Просим помощи в дешифровке.
25.02.2016 19:36:49, Сергей Дмитриев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91791/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91791/ Thu, 25 Feb 2016 19:36:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Денис Мережников,
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
10.02.2016 08:33:39, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91528/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91528/ Wed, 10 Feb 2016 08:33:39 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Файла нигде нет. Все выполнил. Как восстановить зашифрованные файлы?
09.02.2016 17:20:23, Денис Мережников.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91521/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91521/ Tue, 09 Feb 2016 17:20:23 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Денис,
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE

по очистке системы выполните:

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo G:\JSYJVXNM.BAT
addsgn 988C1FF2342A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7377E5516073B09895F855049713BDB4BBE969CB0A77B7F2D3A17C56473 8 policies.0225

zoo G:\TEMZNRJKVQ.BAT
zoo G:\LYIXNTNQDAIV.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДЕН\APPDATA\LOCAL\TEMP\{4BA9B26E-4670-4C21-A7CD-D10DABC21097}\{147CDBFE-A00A-43EB-9724-0A6211BFEF26}.TMP

delref %SystemDrive%\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE

deltmp
delnfr
;-------------------------------------------------------------

quit
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
09.02.2016 16:20:45, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91520/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91520/ Tue, 09 Feb 2016 16:20:45 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день, на сервер компании как-то попал вирус-шифровальщик, который зашифровал большинство файлов в таком формате http://c2n.me/3u3HALp (зашифровались pdf, xls, xlsx, базы 1С).
Основной файл содержит следующий текст {72N6FD42-3SKE-818D-9865-3YAH2897396Y}.id-2004805086806637-paycrypt@aol.com
Скорее всего попал через одного пользователя, у него в папке C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup создан файл-картинка http://c2n.me/3u3IbZV и картинка фона рабочего стола такая же.

Лицензия имеется, в техподдержку написал, обращение зарегистрировано под номером 1074165

Образ автозапуска прилагаю
ASK-SRV_2016-02-09_11-13-35.7z
09.02.2016 13:20:04, Денис Мережников.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message91517/ http://forum.esetnod32.ru/messages/forum35/topic13328/message91517/ Tue, 09 Feb 2016 13:20:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Евгений Купреев написал:
Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.
=============
Если у вас действительно такой же шифровальщик, то заражение происходит путем подбора паролей удаленного доступа и ручного запуска шифровальщика на вашем компьютере (сервере).
Поэтому если у вас настроен удаленный доступ к компьютеру, то поменяйте все пароли пользователей.
Расшифровкой занимается техподдержка, поэтому если у вас есть лицензия на антивирус ESET пишите на support@esetnod32.ru
На форуме вам могут помочь с удалением остатков вируса, если вы предоставите образ автозапуска системы.
08.01.2016 12:34:10, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90609/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90609/ Fri, 08 Jan 2016 12:34:10 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.
08.01.2016 10:29:05, Евгений Купреев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90608/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90608/ Fri, 08 Jan 2016 10:29:05 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
santy, TNOD я использовал очень давно, сейчас не пользуюсь. Просто я не удаляю всякий хлам с компьютера, вдруг когда нибудь для чего нибудь пригодится.  
08.01.2016 09:51:35, Виктор Давыдов.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90607/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90607/ Fri, 08 Jan 2016 09:51:35 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Виктор,
tnod используем, поэтому (по правилам нашего форума) помощь в очистке системы не будет оказана.
обратитесь за помощью на другой форум.
C:\USERS\ARTIST\DESKTOP\TNOD-1.4.2.3-FINAL-SETUP.EXE
08.01.2016 07:28:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90605/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90605/ Fri, 08 Jan 2016 07:28:54 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Поймал такую же пакость, решение есть?
http://rghost.ru/8vDVvgrkm - образ автозапуска
08.01.2016 03:14:04, Виктор Давыдов.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90603/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90603/ Fri, 08 Jan 2016 03:14:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Значит злодей не дурак и шредером его похоже удалил.  
07.01.2016 20:46:33, mike 1.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90600/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90600/ Thu, 07 Jan 2016 20:46:33 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Перерыл все и всем, включая R-Studio и железки от них. Не видит этот файл. Хоть убейте....
07.01.2016 15:21:59, Евгений Афанасьев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90596/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90596/ Thu, 07 Jan 2016 15:21:59 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Евгений Афанасьев написал:
Так же обнаружил пару файлов удаленных в папке system32 -  ссылка  возможно помогут для анализа
=============
Вам нужно пытаться восстановить этот файл.

====quote====

====quote====
Полное имя                  C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
=============

====quote====
Имя файла                   {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
=============

====quote====
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
=============

====quote====
                           
=============

====quote====
Удовлетворяет критериям    
=============

====quote====
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
=============

====quote====
                           
=============

====quote====
Сохраненная информация      на момент создания образа
=============

====quote====
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
=============

====quote====
Инф. о файле                Не удается найти указанный файл.
=============

====quote====
Цифр. подпись               проверка не производилась
=============

====quote====
                           
=============

====quote====
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
=============

====quote====
Путь до файла               Типичен для вирусов и троянов
=============

====quote====
                           
=============

====quote====
Ссылки на объект            
=============

====quote====
Ссылка                      HKEY_USERS\S-1-5-21-4169356517-2588050924-2036696651-1139\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}
=============

====quote====
{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe
=============

=============

07.01.2016 11:23:18, mike 1.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90592/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90592/ Thu, 07 Jan 2016 11:23:18 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Так же обнаружил пару файлов удаленных в папке system32 - ссылка возможно помогут для анализа
07.01.2016 01:16:00, Евгений Афанасьев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90591/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90591/ Thu, 07 Jan 2016 01:16:00 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Самое обидное, никаких следов, кроме картинки от него не осталось... кстаи, гады :evil:  просят 2 биткоина....
06.01.2016 20:43:51, Евгений Афанасьев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90587/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90587/ Wed, 06 Jan 2016 20:43:51 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Есть ли какая информация у вас?
=============
Trojan.Encoder.741  
06.01.2016 20:23:17, mike 1.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90586/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90586/ Wed, 06 Jan 2016 20:23:17 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Да, и зашифрованные файлы и картинки похожи.
Ну значит в любом случае - в техподдержку  Пользователь добавил изображение
06.01.2016 19:13:54, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90585/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90585/ Wed, 06 Jan 2016 19:13:54 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
скорее всего, этот шифратор уже в ходу, поменяли только почту
вот типичный случай
rp13q4.txt.id-1898151792345732-Johnmen.24@aol.com
http://forum.esetnod32.ru/forum35/topic12799/

по моему здесь характерно, то что взламывают доступ к серверам и шифруют файлы

и файлики в этой теме аналогичные

====quote====
zoo %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
delall %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
=============
хотя не факт, что этот файл имеет прямое отношение к шифратору

если погуглить по Johnmen.24@aol.com, то можно найти подобные темы на других форумам: на ЛК например, и там тоже шифрование было выполнено после взлома доступа по RDP
06.01.2016 19:04:05, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90584/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90584/ Wed, 06 Jan 2016 19:04:05 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Santy
Я исходил только из контактного адреса.
Значит что-то новое.
Но это не единичное заражение. На форуме DrWeb-а есть аналогичные обращения.
Боюсь волна начнется 11-го числа, когда большинство людей на работу выйдет.
06.01.2016 18:57:55, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90583/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90583/ Wed, 06 Jan 2016 18:57:55 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Andrew Komissarov написал:
Судя по адресу zed.zorro1@aol.com на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
=============
но если посмотреть содержимое зашифрованного файла, например в winhex, то мы не видим конечных блоков, которые характерны для вариантов Cryakl
1.2
{ENCRYPTSTART}
{GLSYELQWDIOUAGMRYEJPWBHNTZFLRXCJOUAG-14.12.2015 14@11@408503170}{18432}{CL 1.2.0.0}{32 завод .xls}{F413C6BC68060C5A02B7C9A70B9CBC3B}
{ENCRYPTENDED}
1.1
{GMHHVGBCABPQDWFGGHQRDXSMFGWWJJFFRLCC-14.08.2015 14@26@595790416}{2739210}{CL 1.1.0.0}{Страница 5 буклета.docx}{1BFAC46297582DD0CBDE4B2DFE04A7BC}
1.0
{ENCRYPTSTART}
{JQWBHLQVAFKPUZEINRWBGLQUZEJOSXBGLQVA-14.07.2015 0@11@145100333}{19968}{CL 1.0.0.0}{график.xls}{FCB99541099F2E5EA56CF56AEC5134EB}
{ENCRYPTENDED}
0.0.1.0
{ENCRYPTSTART}{SAXQDBGRIZXBFKHFQUFJOLDHMQOFWULCTXIT-29.06.2015 8@42@247880196}{27136}{CL 0.0.1.0}{смены.doc}{026214F2BE27706396C7114B229AA9DA}
поэтому развитие .Cryakl здесь не просматривается.
06.01.2016 18:39:12, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90582/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90582/ Wed, 06 Jan 2016 18:39:12 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Евгений Афанасьев написал:

====quote====
Andrew Komissarov   написал:
Судя по адресу   zed.zorro1@aol.com   на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
=============
Нашел кто то под него дешифратор?
=============
Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.
06.01.2016 18:32:07, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90581/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90581/ Wed, 06 Jan 2016 18:32:07 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Andrew Komissarov написал:
Судя по адресу  zed.zorro1@aol.com  на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
=============
Нашел кто то под него дешифратор?
06.01.2016 18:20:04, Евгений Афанасьев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90580/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90580/ Wed, 06 Jan 2016 18:20:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Судя по адресу zed.zorro1@aol.com на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
06.01.2016 18:07:23, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90579/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90579/ Wed, 06 Jan 2016 18:07:23 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
судя по наименованию зашифрованного файла это близко к encoder.741
вот варианты, которые были ранее:
readme.txt.id-0944860228_sos@xsmail.com
gmer.zip.id-1838430874_protectdata@inbox.com
есть и другие, аналогочные
(это было в 2015)
06.01.2016 15:19:15, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90578/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90578/ Wed, 06 Jan 2016 15:19:15 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Кстати насчет C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE  там была только картинка Картинка"
06.01.2016 15:04:07, Евгений Афанасьев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90577/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90577/ Wed, 06 Jan 2016 15:04:07 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
судя по образу система уже очищена. возможно это файл поучаствовал в шифровании
C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
посмотрите, нет ли его среди удаленных файлов.

с расшифровкой помогаем если есть такая возможность, но в основном расшифровкой занимаются в техподдержке, поскольку они непосредственно контактируют с вирлабом.
06.01.2016 14:59:38, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90576/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90576/ Wed, 06 Jan 2016 14:59:38 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением id-*_paycrypt@aol.com* зашифровано с расширением id-*_paycrypt@aol.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Всем привет. 2.01.16 прилетело сие чудо - id-7063414822790367-paycrypt@aol.com.
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.id-7063414822790367-paycrypt@aol.com , второй - имя оригинала и  .id-7063414822790367-paycrypt@aol.com.
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска.  ТЫК
06.01.2016 14:08:59, Евгений Афанасьев.]]> http://forum.esetnod32.ru/messages/forum35/topic13328/message90575/ http://forum.esetnod32.ru/messages/forum35/topic13328/message90575/ Wed, 06 Jan 2016 14:08:59 +0300 Шифровальщики файлов и подбор дешифраторов