Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Зашифрованы файлы (http://forum.oszone.net/showthread.php?t=289384)

alef2474 14-10-2014 11:45 2415116
Зашифрованы файлы
 
Вложений: 1
Вдруг на одном из компьютеров поутру оказались зашифрованы файлы: ко всем приставлено расширение - e-mail адрес вымогателей keybtc@gmail.com и размещено на раб.столе требование вымогателей писать им, платить за расшифровку:

Ваши документы, фото, базы данных, а также другие важные файлы были зашифрованы с использованием криптостойкого алгоритма RSA-1024.
Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE)
Для восстановления всех Ваших данных нужны только эти два файла.
если данные важны - делаем запрос на дешифрование. Вполне разумное решение
- если данные не важны - форматируем диск
Не стоит ждать появления универсального дешифратора от антивирусных лабораторий.
Вы должны подать системе запрос с KEY.PRIVATE и UNIQUE.PRIVATE в течение суток от даты ключа - для регистрации на будущее дешифрование. Дата ключа 13.10.2014 .
Вам не обязательно сразу оплачивать. Однако если Вы не зарегистрируетесь в течение суток, стоимость дешифрования в будущем может резко возрасти.
После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
В процессе дешифрования желательно не трогать компьютер, () ДВА раза запускать с ключем дешифратор не нужно.
Сам процесс дешифрования происходит в скрытом режиме (обычно до 6-ти часов)
Новостная лента, а также ГАРАНТИИ (почты покупателей) в Твиттере: http://twitter.com/keybtc

При удалении приставленного расширения файлы действительно не читаются MSOffice.
Где пользователь поймала это шифрование - непонятно. Возможно нажимала что-то в соц.сетях, не признается.

Как быть?
Прилагаю лог

Sandor 14-10-2014 13:27 2415199
Здравствуйте!

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\67F9~1\AppData\Local\Temp\KEYBTC.txt', '');
 DeleteFile('C:\Users\67F9~1\AppData\Local\Temp\KEYBTC.txt', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3035361402-2978697449-3444281178-1192\Software\Microsoft\Windows\CurrentVersion\Run','WinHelp');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.
Компьютер перезагрузится. После перезагрузки файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

К сожалению, без приватного ключа расшифровать не возможно.

Ознакомьтесь со статьей.

alef2474 14-10-2014 13:55 2415228
Цитата:
Цитата Sandor
К сожалению, без приватного ключа расшифровать не возможно. »
Эти ключи KEY и UNIQUE я могу прислать.

Sandor 14-10-2014 14:14 2415239
Нет, это не те ключи((


Время: 01:00.

Время: 01:00.
© OSzone.net 2001-