[QUOTE]Тимур Абдусадыков написал:
Приватные ключи могут быть в вирусе? Вы сможете их оттуда извлечь?[/QUOTE]
приватные ключи (которые нужны для расшифровки ваших файлов), возможно и есть, но в зашифрованном виде (скорее всего в теле зашифрованных файлов). а ключи к их расшифровке есть только у злоумышленников.

[QUOTE]Тимур Абдусадыков написал:
могу ли я отправить с другого е-мейл?[/QUOTE]
проверьте личные сообщения.

по расшифровке:
в данном случае пара зашифрованный - чистый не поможет созданию расшифровщика. только если в доступе будут приватные ключи.

@Тимур Абдусадыков,

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE
del %SystemDrive%\USERS\APETROV\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE
del %SystemDrive%\USERS\TIMOTHY.BUKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-02E6014B.[[email protected]].ADOBE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.

2. экспортируйте в файл (txt) лог журнала событий, добавьте лог журнала на форум.

3. по расшифровке документов:
сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем будет дешифровщик.

4. восстановите один из файлов шифратора из карантина (используйте функцию "восстановить в")
этот например:
C:\Users\apetrov\Desktop\05\1Vera.exe
переименуйте его в [B]1Vera.vexe[/B]
добавьте 1Vera.vexe в архив с паролем infected, вышлите архив в почту [email protected]

ПК и телефон подключены к сети через роутер? попробуйте ip телефона забить в доверенную зону в настройках фаерволла на ПК

[B]Что такое Dharma Ransomware и как защитить свой бизнес от этого[/B]

Dharma / CrySIS - широко распространенный тип крипто-вымогателей. Этот вымогатель является потомком семейства Cesar, и основные варианты, циркулирующие сегодня, появились в дикой природе в 2016 году.

Некоторые из ранних вариантов были взломаны Kaspersky и ESET, и был опубликован бесплатный расшифровщик. К сожалению, новые варианты Dharma Ransomware в настоящее время не расшифровываются, так как код вредоносных программ продолжает развиваться и получил широкое распространение.

[B]Каковы общие векторы атаки для Dharma Ransomware[/B]

Главный вектор атаки для вымогателей Dharma - через порты по протоколу удаленного рабочего стола или RDP. RDP порт, который обычно используется сотрудниками или поставщиками услуг для удаленного доступа к сети. Доступ по протоколу RDP обходит защиту конечных точек, значительно облегчая перемещение между конечными точками, разделенными сетями и системами резервного копирования.

Злоумышленники могут взломать RDP несколькими различными способами:

   С помощью сканирования портов с помощью таких веб-сайтов, как Shodan, а затем с помощью перебора RDP-сеансов, пока учетные данные не будут скомпрометированы.

   Покупка и использование взломанных учетных данных для продажи на таких сайтах, как XDedic.

   Фишинг сотрудника компании для получения доступа и контроля над их машиной. Затем используйте этот доступ для прямого доступа RDP изнутри сети.

На темных интернет-площадках продается десятки тысяч корпоративных учетных данных RDP всего за 3 доллара.

В то время как множество крупных организаций продолжают оставлять этот вектор незащищенным, небольшие компании полагают, что они слишком малы, чтобы быть целью, и не понимают, насколько легко они могут быть подвержены атакам. Многим также не хватает ресурсов, людей или знаний о том, как правильно обеспечить доступ.

[B]Как Вы можете защитить свой бизнес от Dharma Ransomware?[/B]

брутфорсинг к удаленным рабочим столам остается главным вектором атаки для Dharma Ransomware. Чтобы обезопасить себя от атак, вы должны обеспечить безопасность этих служб.

Популярные способы защиты RDP включают в себя:

   Двухфакторная проверка подлинности (2FA). Подавляющее большинство корпоративных атак вымогателей может быть предотвращено путем включения двухфакторной проверки подлинности для удаленных сеансов и всех удаленно доступных учетных записей.

   Ограничение доступа: ограничьте доступ, разместив RDP за брандмауэром, используя VPN для доступа к нему, изменив порт по умолчанию и / или разрешив доступ по выбранному белому списку диапазонов IP-адресов, что может помочь снизить риск компрометации. Кроме того, рассмотрите положения о блокировке, чтобы пресечь попытки брутфорса.

   ЗАщита конечных точек и альтернативные решения. Современные решения защиты для конечных точек могут обнаруживать аномалии в использовании сети (например, на рабочей станции в офисе, пытающейся выполнить сеанс RDP) и останавливать их до нанесения ущерба.

Помимо защиты вашего бизнеса от атак, важно иметь адекватные резервные копии и тщательные планы аварийного восстановления (DR) и реагирования на инциденты (IR).

Если конфигурации RDP будут скомпрометированы, очень важно, чтобы ваши планы DR и IR были систематизированы и обновлены. Системы резервного копирования должны иметь последние версии всех данных, доступных локально, в облаке и в системах, расположенных отдельно от корпоративной сети.

Доступ к этим резервным копиям должен быть правильно разделен и доступен только избранной группе администраторов безопасности, а доступ к администрированию их защищен 2FA. Фирмы IR должны быть подготовлены, чтобы минимизировать затраты и время для восстановления в случае нарушения.


https://www.coveware.com/blog/remove-dharma-ransomware

адрес существующий или нет? напишите в [email protected]

проверьте учетные данные (логин и пароль) в техподдержке [email protected]

проблема видимо в том, что вы работаете под NAT-ом провайдера, а в его сети эти порты закрыты.

+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref LOAD.PYC
delall %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\YOUTUBEDOWNLOADER­_UPD\PYTHON\PYTHONW.EXE
delall %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\YOUTUBEDOWNLOADER­\PYTHON\PYTHONW.EXE
delref START.PYC
delall %SystemDrive%\PROGRA~3\04A85E~1\SYSTEM~1.EXE
delref %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\YOUTUBEDOWNLOADER­\PYTHON\PYTHON.EXE
delref %SystemDrive%\USERS\RUSLAN\APPDATA\ROAMING\KODOBI\PYTHON\PYT­HONW.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLADLJMABBOANHIHFKJACNNKGJHNOKHJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\RUSLAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDHPACFHLJHCOMBKALCMKAHKHODPKBIM\15.1.13.1_0\ПОИСК MAIL.RU
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDOICAPFDALDIOKBCDNLLFHNAPOKCBK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDHPACFHLJHCOMBKALCMKAHKHODPKBIM%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\RUSLAN\APPDATA\LOCAL\{904D3770-E09F-441C-9AEC-A43930831E8A}
delref %SystemDrive%\PROGRAMDATA\B7C4B71B-7753-1\B7C4B71B-7753-1.D
delref %SystemDrive%\PROGRAMDATA\B7C4B71B-16A5-0\B7C4B71B-16A5-0.D
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDE­XBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\RUSLAN\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAMDATA\QUOTEEX\SOLDAX.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref G:\ASRSETUP.EXE
delref {2318C2B1-4965-11D4-9B18-009027A5CD4F}\[CLSID]
delref {AA58ED58-01DD-4D91-8333-CF10577473F7}\[CLSID]
delref {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

@Руслан Ганущак,

проверьте эти файлы на http://virstotal.com и дайте ссылки на линки проверки

C:\WINDOWS\SYSWOW64\APPINIT641.DLL
C:\PROGRAMDATA\EMPC\CORE64.DLL