Вирус заархивировал все документы и папки на сервере

alenaalenovna · 04.02.2015, 13:21

Добрый день!

На прошлой неделе схватили вирус.В итоге: заархивированы все документы и папки на сервере.
В каждом файле инструкция, что нужно сделать для получения файлов обратно за деньги.
Вобщем работать невозможно

Наш файл:
http://rghost.ru/7hkCn9gMS

Прошу помощи, заранее спасибо.

safety · 04.02.2015, 13:34

1. по шифраторам читаем:
http://chklst.ru/forum/discussion/14...olpoyu-#Item_2
и это
http://forum.esetnod32.ru/messages/f.../#message82102

2. по очистке системы
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
hide %SystemDrive%\PROGRAM FILES\FUSIONINVENTORY-AGENT\PERL\BIN\PERL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL

delref {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}\[CLSID]

delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID]

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

regt 28
regt 29
; Video Player
exec D:\Program Files\VideoPlayerV3\VideoPlayerV3beta625\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

alenaalenovna · 04.02.2015, 19:39

Спасибо.
Пункт 2, это очистка компьютера от вирусов?или ест надежда расшифровать файлы?

safety · 04.02.2015, 20:25

да, 2 это очистка.
по расшифровке - какое расширение стало у зашифрованных файлов?

alenaalenovna · 05.02.2015, 11:34

Все файлы теперь- rar

safety · 05.02.2015, 12:20

выполните очистку системы, по зашифрованных файлам чуть позже поговорим

alenaalenovna · 06.02.2015, 10:24

Сканирование сделала, единственное, после нажала применить действия, а потом сохранила в журнал.
Файл не прикрепляется к сообщению, где можно его разместить?

safety · 06.02.2015, 11:33

раз применили действие, значит уже удалили.

по расшифровке: выложите по ссылке на http://rghost.ru несколько зашифрованных документов

alenaalenovna · 06.02.2015, 11:52

Несколько файлов:

http://rghost.ru/7SGn5fCkZ

http://rghost.ru/67PRRbz8Z

http://rghost.ru/private/7Td4LsYSz/6...4500d6f7190497

safety · 06.02.2015, 17:44

расширение rar, возможно использовался обычный winraR шифрования. пробуйте обычным винрар-ом распаковать такой файл

alenaalenovna · 06.02.2015, 17:57

Во всех файлах просит пароль

---------- Добавлено в 16:57 ---------- Предыдущее сообщение было написано в 16:56 ----------

В этот-то и вся проблема.

safety · 06.02.2015, 17:58

а кто мог зашифровать файлы? вы уверены что это вирус, а не кто-то другой, кто имеет кроме вас доступ к компу?

safety · 06.02.2015, 18:01

пробуйте такой утилиткой подобрать пароль к архиву если он конечно не окажется длиной в 40 километров, тогда нескольким поколениям не хватит времени для расшифровки архивов.

Advanced_Archive_Password_Recovery_Professional

alenaalenovna · 06.02.2015, 18:40

Уверена, в каждой папке файл с таким текстом:

-----BEGIN PGP MESSAGE-----
Version: 2.6.3i

hIwDkRb9M39ObTEBA/9y2jmD/ehVPw64CA55Q7IyCZ7O+vCpW3AeXUmyfN4F66W5
Bdw2fab9iYLcr08n0nIIfuzv3dA/X4CJDh+Zk1acHsas+BZTykwZ9q05CeU5opJ0
yZvpk3sQngB0MTkuaX38MjQhWEczuVO6sxj/0+IpuwsNEFtINomW9d1lEr1/vqYA
AABXmigJQgTglMlp2/TOHFBUDCWE6teUU/rH8XjMleh5LWcotmEqm64UU2nPCnrL
mLvTf3ToIZyw+UNYpu/Z/uSyGp/0sooqIPhnLnTBRpYHWrnVegGJhseV
=0k5F
-----END PGP MESSAGE-----

Файлызапакованыв архивыс паролем.
Стоимостьразархивации 10.000 рублей.
Дляраспаковки файлов прилите два файла на e-mail: jettikair@gmail.com
- файл которыи Высейчас читаете;
- один заархивированныи файл неболього размера (не болье 1 мегабайта);
В ответ на Вае письло придет оригинальмыи файл и инструкцияпо оплате.
(Оригинальмыи файл яблядтсяподтверждением того, что возможно вернутьвсе данныд в исходное состоямие)
После оплатыВам придет парольна архивыи программа, котораяраспакует все файлы-
Ответ на Вае письло придет в течение 24 часов.
Если ответ не приходит более 24 часов прилите два файла на резервнуюпочту: jettikair@mail2tor.com

safety · 06.02.2015, 18:58

по поводу сообщения. это действительно зашифрованное послание в GnuPGP

Цитата:

gpg: зашифровано ключом RSA с ID 7F4E6D31
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!!!\key.txt
Time: 06.02.2015 20:52:54 (06.02.2015 14:52:54 UTC)

----------
когда были зашифрованы файлы?
проверьте на паре файлов (без оплаты), что они вам ответят.

04.02.2015, 13:21	#1 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Вирус заархивировал все документы и папки на сервере Добрый день! На прошлой неделе схватили вирус.В итоге: заархивированы все документы и папки на сервере. В каждом файле инструкция, что нужно сделать для получения файлов обратно за деньги. Вобщем работать невозможно Наш файл: http://rghost.ru/7hkCn9gMS Прошу помощи, заранее спасибо.

04.02.2015, 13:34	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	1. по шифраторам читаем: http://chklst.ru/forum/discussion/14...olpoyu-#Item_2 и это http://forum.esetnod32.ru/messages/f.../#message82102 2. по очистке системы выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delref HTTP://SEARCH.QIP.RU delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE hide %SystemDrive%\PROGRAM FILES\FUSIONINVENTORY-AGENT\PERL\BIN\PERL.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL delref {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}\[CLSID] delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID] delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] regt 28 regt 29 ; Video Player exec D:\Program Files\VideoPlayerV3\VideoPlayerV3beta625\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
стало две папки мои документы	fabyla	Windows 7	5	30.05.2013 11:38
Помогите, пож-та!!!: исчезли документы и папки на флешке	NGM	Утилиты	1	10.10.2012 15:35
При открытии папки Мои документы появляется окно с ошибкой	tanya558	Безопасность	4	09.05.2012 20:39
При открытии папки Мои документы появляется окно с ошибкой	tanya558	Windows XP	2	09.05.2012 19:45
Удаление ненужных папок из папки «Мои документы»	Imya	Windows XP	9	24.11.2009 22:19

04.02.2015, 19:39	#3 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Спасибо. Пункт 2, это очистка компьютера от вирусов?или ест надежда расшифровать файлы?

04.02.2015, 20:25	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, 2 это очистка. по расшифровке - какое расширение стало у зашифрованных файлов?

05.02.2015, 11:34	#5 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Все файлы теперь- rar

05.02.2015, 12:20	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполните очистку системы, по зашифрованных файлам чуть позже поговорим

06.02.2015, 10:24	#7 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Сканирование сделала, единственное, после нажала применить действия, а потом сохранила в журнал. Файл не прикрепляется к сообщению, где можно его разместить?

06.02.2015, 11:33	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	раз применили действие, значит уже удалили. по расшифровке: выложите по ссылке на http://rghost.ru несколько зашифрованных документов

06.02.2015, 11:52	#9 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Несколько файлов: http://rghost.ru/7SGn5fCkZ http://rghost.ru/67PRRbz8Z http://rghost.ru/private/7Td4LsYSz/6...4500d6f7190497

06.02.2015, 17:44	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	расширение rar, возможно использовался обычный winraR шифрования. пробуйте обычным винрар-ом распаковать такой файл

06.02.2015, 17:57	#11 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Во всех файлах просит пароль ---------- Добавлено в 16:57 ---------- Предыдущее сообщение было написано в 16:56 ---------- В этот-то и вся проблема.

06.02.2015, 17:58	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	а кто мог зашифровать файлы? вы уверены что это вирус, а не кто-то другой, кто имеет кроме вас доступ к компу?

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

06.02.2015, 18:01	#13 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	пробуйте такой утилиткой подобрать пароль к архиву если он конечно не окажется длиной в 40 километров, тогда нескольким поколениям не хватит времени для расшифровки архивов. Advanced_Archive_Password_Recovery_Professional

06.02.2015, 18:40	#14 (ссылка)
alenaalenovna Новичок Регистрация: 04.02.2015 Сообщений: 10 Репутация: 0	Уверена, в каждой папке файл с таким текстом: -----BEGIN PGP MESSAGE----- Version: 2.6.3i hIwDkRb9M39ObTEBA/9y2jmD/ehVPw64CA55Q7IyCZ7O+vCpW3AeXUmyfN4F66W5 Bdw2fab9iYLcr08n0nIIfuzv3dA/X4CJDh+Zk1acHsas+BZTykwZ9q05CeU5opJ0 yZvpk3sQngB0MTkuaX38MjQhWEczuVO6sxj/0+IpuwsNEFtINomW9d1lEr1/vqYA AABXmigJQgTglMlp2/TOHFBUDCWE6teUU/rH8XjMleh5LWcotmEqm64UU2nPCnrL mLvTf3ToIZyw+UNYpu/Z/uSyGp/0sooqIPhnLnTBRpYHWrnVegGJhseV =0k5F -----END PGP MESSAGE----- Файлызапакованыв архивыс паролем. Стоимостьразархивации 10.000 рублей. Дляраспаковки файлов прилите два файла на e-mail: jettikair@gmail.com - файл которыи Высейчас читаете; - один заархивированныи файл неболього размера (не болье 1 мегабайта); В ответ на Вае письло придет оригинальмыи файл и инструкцияпо оплате. (Оригинальмыи файл яблядтсяподтверждением того, что возможно вернутьвсе данныд в исходное состоямие) После оплатыВам придет парольна архивыи программа, котораяраспакует все файлы- Ответ на Вае письло придет в течение 24 часов. Если ответ не приходит более 24 часов прилите два файла на резервнуюпочту: jettikair@mail2tor.com