Після зараження на машині виявляються зашифровані і не відкриваються всі файли користувача з розширеннями *txt,*doc,*docx,*xls,*jpg,*bmp,*mp3 та інші не системні файли, крім *exe та інших виконуваних файлів. Також пропадає рисунок робочого столу. Зараз просить відправити смс для отримання ключа дескриптора. В іншому випадку погрожувати через 12 годин знищити всі дані.
За це неподобство відповідають файли: FYKRAGNL.exe і IIWIPEZIPMPPPJXI, обидва в папці C:\windows\system32. Перший можна відразу видалити, попередньо вбивши процес. Другий файл "IIWIPEZIPMPPPJXI" є лог-файлом. У жодному разі не можна прати лог файл, тому що в ньому весь список ваших файлів. Якщо ви стерли файл, то треба його створити: Total Commander знаходимо всі файли з розширенням. Лог повинен бути обов'язково в system32.
Далі запускаємо утиліту (ftp://ftp.drweb.com/pub/drweb/tools/te47decrypt.exe), вона підхоплює лог і починає обробляти криптовані файли. Декриптовані файли створюються поруч із криптованими і вже у потрібному нам вигляді. Далі пошуком знаходимо всі файли з розширенням *.crypted та shift+delete їх!
Після цього необхідно очистити реєстр від помилок, пов'язаних з видаленням файлу FYKRAGNL.exe. Їх там буде дуже багато. Далі перезавантажуємо машину. Після перезавантаження потрібно перепризначити програми за промовчанням для відкриття основних типів файлів.
Можливо, ця зараза підкачується даунлоадером sdra64.exe. У такому разі, швидше за все, explorer не запускається, робочий стіл не відображається. Для лікуванняТреба запустити explorer з диспетчера завдань, в реєстрі ключа користувачапривести в правильний стан:
|