Поймал шифровальщик. Что посоветуете?

[sar_64]

Приветствую всех!

Вот и у меня наконец появились серьезные проблемы

Раньше как-то проносило. Несерьезные вещи, типа блокираторов системы, достаточно просто удалял у себя и у знакомых.

Теперь проблема в следующем:

Моя жена открыла вложенный в письмо архивный файл и произошло заражение системы.

Информация о письме:
От
Mellissa Paris
Кому:
ххххххххх@rambler.
2 pages from +07766-38-80-61
1 файл, 17 КБ
No.: +07766-38-80-61
Date: 2015.01.18 10:48:50 CST
Pages: 2
ID: R888X_962CBD928
Filename: noticeably.zip

--
The Adpax Company
Mellissa Paris


Началось шифрование файлов Microsoft office, txt, rtf, pdf, jpg, dbf и др.
К зашифрованным файлам добавляется расширение .wwpqsee

Компьютер был выключен до окончания шифрования файлов, но повреждено очень много файлов. К сожалению, резервное копирование проводилось очень давно, а для жены комп является рабочей машиной, она бухгалтер.

Нашел среди фотографий несколько штук с таким названием: Decrypt All Files wwpqsee.bmp. Перегнал в jpeg и прикладываю к сообщению.

Написал в саппорт Eset, так как пользуюсь их антивирусом. Они письмо зарегистрировали, но пока больше ни каких известий.

 

Вопросы следующие:

- стоит ли ждать помощи от антивирусной компании или восстановить диск С из образа? На нем только система и общие программы, документы, бухгалтерские программы и др. находятся на других дисках;

- если загрузиться в безопасном режиме, не продолжится шифрование файлов, которые еще не успели заразиться? Прогонял системный диск и диск Д утилитами Dr.Web LiveDisk и Kaspersky Rescue Disk 10.0, ничего не нашел. (Все кэши перед этим почистил от мусора)

 

Спасибо заранее за помощь!

[Sandor]

Здравствуйте!

 

Нужны логи по Правилам подраздела для выявления вредоноса.

Могу предположить, что это из серии Trojan-Ransom.Win32.Onion и расшифровке не поддается. Точнее об этом можно будет сказать когда выложите логи.

[sar_64]

@Sandor, для создания логов неоходимо войти в систему. Меня волнует вопрос, не продолжится ли шифрование файлов, которые еще не успели повредиться? Там еще много осталось целых файлов.

Изменено 22 января, 2015 пользователем sar_64

[Sandor]

Извлеките HDD, подключите к другому компьютеру и сохраните нужные данные.

 

Описание.

[Sandor]

Вот еще сообщение от ТП ЛК.

[Loader]

Извлеките HDD, подключите к другому компьютеру и сохраните нужные данные.

Плюс попробуй программу для восстановления удаленных данных с диска. Многие такие программы позволяют создать посекторный образ диска для проведения дальнейших процедур восстановления. Я пользую R-studio. Ну и образ самого раздела (акронисом и иже с ними) на всякий случай сохранить не мешает.

После этого (когда есть возможность откатиться к началу лечения, попробовать "восстановление системы", спокойно на другой машине поискать удаленные файлы) всё в руках @Sandor.

[sar_64]

@Loader, пробовал уже восстанавливать файлы программами EasyRecovery и R-studio, ни чего не получилось.

Восстановил системный диск из образа, кое-что из данных взял вернул из архива, который был на внешнем диске. Своего почти ни чего не потерял, а вот жене теперь придется много восстанавливать в 1С, я там давно последний раз архив делал.

Надеюсь, что поможет саппорт Eset, они просили выслать им образцы файлов.

[Loader]

Т.е. как я понимаю вопросов к @Sandor, уже нет, так как нет зараженной системы, есть лишь зашифрованные файлы?

[sar_64]

Да, спасибо.

Eset работает, посылал им еще зараженные файлы.

Думаю, что вряд ли они смогут сделать дешифратор.

Жена восстанавливает свои данные. Увы, получается много лишней работы (((