Quote Здравствуйте. Установлен KIS2012 с последними базами. При включении компьютера из автозагрузки загрузился файл: HOW TO DECRYPT FILES.txt с текстом:
"
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
Odgh447DRMAQUaP8i2t6R0paHu02X73
====================================================================
"
Все файлы стали иметь расширение: *.ENC и насколько я понял стали зашифрованы. Очень прошу помочь.
Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA (длиной 1024 бит), содержащимся в теле вируса.
Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.
Вирус создает зашифрованную копию файла, имеющую оригинальное имя файла и расширение к которому добавляется _CRYPT. Пример:
первоначальный файл: WaterLilles.jpg
зашифрованный файл: WaterLilles.jpg._CRYPT
Затем первоначальный файл удаляется.
В каждый каталог, файлы которого были зашифрованы, вредоносная программа помещает файл «!_READ_ME_!.txt» следующего содержания:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com
=== BEGIN ===
[key]
=== END ===
Файлы, находящиеся в каталоге Program Files шифрованию не подвергаются. Также вирус не шифрует файлы:
имеющие аттрибуты «системный» и «скрытый»; имеющие размер меньше 10 байт; имеющие размер больше 734003200
В ходе своей работы вирус не регистрирует себя в системном реестре.
По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера.
Также известен как: Troj / Ransom-U [Sophos], GPcoder.j [McAfee], Trojan-Ransom.Win32.Gpcode.ax [Kaspersky]Длина:10752 байт
Системы, подверженные уязвимости: Windows 2000, Windows Server 2003, Windows Vista, Windows XP
Trojan.Gpcoder.G это троянский конь, который шифрует файлы на зараженном компьютере, а затем предлагает пользователю приобрести пароль, чтобы расшифровать их.(такое письмо есть выше этого текста)
При запуске троянец ищет зараженном компьютере файлы со следующими расширениями:
.1cd
.3gp
.avi
.bmp
.cdr
.cer
.dbf
.doc
.doc
.docx
.docx
.dwg
.flv
.ifo
.jpeg
.jpg
.kwm
.lnk
.m2v
.max
.md
.mdb
.mdb
.mdf
.mov
.mp3
.mpeg
.mpg
.odt
.p12
.pdf
.pfx
.ppt
.pptx
.psd
.pwm
.rar
.txt
.vob
.xls
.xls
.xlsx
.xlsx
.zip
Троянец добавляет расширение .ENCODED(.ENC) к имени зашифрованного файла
Ключ шифрования располагает в %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt
«Лаборатория Касперского» предупреждает о появлении в интернете новой версии вредоносной программы-шифровальщика Gpcode.
Программа распространяется через вредоносные веб-сайты и посредством P2P-сетей.
Антивирусные продукты «Лаборатории Касперского» детектируют программу под названием Trojan-Ransom.Win32.Gpcode.ax.
| 
