Решена с расшифровкой. Зашифровались файлы .dat

[Даниил]

Установил exe файл. Теперь все txt файлы зашифровались следующим образом ....txt.dat

Логи приложил

 

[Sandor]

Здравствуйте!

Перечитайте, пожалуйста, правила. Нужен CollectionLog, собранный с помощью Автологера.

 

[Даниил]

Прикрепил

 

[Sandor]

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Даниил]

Вот

 

[Sandor]

Включите Восстановление системы.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF Extension: (\u0421\u043E\u0432\u0435\u0442\u043D\u0438\u043A\u0020\u042F\u043D\u0434\u0435\u043A\u0441\u002E\u041C\u0430\u0440\u043A\u0435\u0442\u0430) - C:\Users\Daniil\AppData\Roaming\Mozilla\Firefox\Profiles\onz785zw.default\Extensions\sovetnik@metabar.ru.xpi [2017-02-24]
CHR Extension: (Яндекс) - C:\Users\Daniil\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon [2017-01-25]
CHR Extension: (Яндекс) - C:\Users\Daniil\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2017-01-25]
CHR Extension: (Стартовая — Яндекс) - C:\Users\Daniil\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjfkgjlnocfakoheoapicnknoglipapd [2017-01-23]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\Daniil\Application Data:NT [40]
AlternateDataStreams: C:\Users\Daniil\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Daniil\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Daniil\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Найдите пару зашифрованный/не зашифрованный, упакуйте их вместе с запиской о выкупе

C:\Users\Daniil\Desktop\DECRYPT_FILES.txt

и тоже прикрепите к следующему сообщению.

 

[Даниил]

Зашифрованные файлы не хотят отправляться

 

[Даниил]

111.zip — RGhost — файлообменник

 

[Sandor]

Зашифрованные файлы не хотят отправляться

Упакуйте с паролем. Либо залейте на файлообменник и сюда ссылку на скачивание.
Вымогатель Mobef. К сожалению, пока инструментов для расшифровки нет.
Впрочем, подождите вердикта эксперта.

 

[Даниил]

А просит он сколько? И вообще расшифрует если отправить деньги?
Со мной связались с этого сайта ttp://grandfix.ru отправил им файлы, им можно доверять?

 

[Sandor]

им можно доверять?

Не думаю. Платную расшифровку обычно предлагают посредники, которые за это возьмут дополнительную плату.

расшифрует если отправить деньги?

Гарантий нет никаких.

 

[Даниил]

Вчера писал что зашифровались файлы.. Ладно, с этим смирился.. Не восстановить так не восстановить.. Но ведь я так понимаю вирус так и сидит в пк?
Можно ли его как то удалить? Стереть?

 

[Даниил]

логи

 

[Даниил]

Он так и шифрует все файлы. Как удалить этот вирус..

 

[Кирилл]

Настройки прокси ваши?
185.188.182.226:40001

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Даниил]

Ну да, поднимал сервера

 

[Кирилл]

Он так и шифрует все файлы. Как удалить этот вирус..

На зараженнои системе сидите? Отключите, если еще не все потеряли.
Будет ответ включите.

 

[Даниил]

Все потерял
Вот что прислал вымогатель:

Pay 15 WMZ($) to the purse Z287700998472

Есть смысл?

 

[Кирилл]

Даниил, вам торопиться уже никуда,дождитесь свободного консультанта.
Платить ли злоумышленнику - сложный вопрос. Могут обмануть,а могут и нет.
Но потакать я бы им не стал.

 

[Даниил]

Мне больше интересует как удалить эту заразу...