Показано с 1 по 12 из 12.

Нужна помощь mike 1 (по поводу .locked) (заявка № 168587)

  1. #1
    Junior Member Репутация
    Регистрация
    14.10.2014
    Адрес
    st.Petersburg
    Сообщений
    6
    Вес репутации
    8

    Нужна помощь mike 1 (по поводу .locked)

    поймали вирус, все файлы зашифрованы, их расширения заменены на <оригинальное_расширение>.<locked>
    в каждой папке создан текстовый файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ" с таким содержанием:
    QUOTE
    ВНИМАНИЕ!!!
    ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
    БУДЕТ НЕВОЗМОЖНО.

    НЕ РЕКОМЕНДУЕТСЯ:
    - ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
    - ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
    - ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.

    ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
    writemenow@bigmir.net

    И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.


    вымогатели хотят биткоинов на 3000 руб.

    воспользовались RakhniDecryptor.
    Утилита пароль подобрала, файлы расшифровала (не все- их просто много очень, прервали операцию).
    При запуске (открытии) файла- выясняется, что он поврежден.
    Оказалось, что размер расшифрованных файлов на 8 байт меньше исходных.

    Слава богу есть бекап, но в бекапе не все. хотелось бы спасти по макимуму информацию.

    Как их восстановить, и что можно сделать с испорченными?

    примеры файлов + лог:
    https://drive.google.com/file/d/0B28OOji_l-...iew?usp=sharing
    https://drive.google.com/file/d/0B28OOji_l-...iew?usp=sharing


    И вот, я снова к Вам, помогите, пожалуйста.
    ПыСы: Я работаю по удаленке, так как до сервера территориально непросто мне сейчас добраться, если нужны скрипты, возможно не отключать сеть?

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) st.solovey, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Здравствуйте расшифровку выдам, но только после того когда увижу что компьютер не заражен.

    http://virusinfo.info/pravila.html
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    14.10.2014
    Адрес
    st.Petersburg
    Сообщений
    6
    Вес репутации
    8
    Повторюсь. Я работаю удаленно, можно ли произвести эти манипуляции с включенной сетью?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Цитата Сообщение от st.solovey Посмотреть сообщение
    Повторюсь. Я работаю удаленно, можно ли произвести эти манипуляции с включенной сетью?
    Да.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    14.10.2014
    Адрес
    st.Petersburg
    Сообщений
    6
    Вес репутации
    8
    Файлы нужны сейчас, а лечить можно и потом.
    Платная поддержка как то может помочь в моей ситуации?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Ладно, но логи нужны все равно.


    information

    Информация



    Скачайте te94decrypt.exe и сохраните в корень диска С.

    В командной строке введите:
    Код:
    C:\te94decrypt.exe -k 479
    Внимание!!!
    1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

    2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались



    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    14.10.2014
    Адрес
    st.Petersburg
    Сообщений
    6
    Вес репутации
    8
    Утилита справилась с задачей!
    RakhniDecryptor расшифровал часть файлов неправильно, а галочку "удалять зашифрованные копии" поставили при этом, так как места на компьютере не много было. Поплатились за это.
    Возможно ли каким- то образом зашифровать их обратно, используя найденный RakhniDecryptor ключ? А потом прогнать тулзу drWeba?

    П.С. Сейчас прогоняю на машине глубокий поиск Касперским, потом займусь логами.
    Куда благодарность прислать?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Возможно ли каким- то образом зашифровать их обратно, используя найденный RakhniDecryptor ключ? А потом прогнать тулзу drWeba?
    Нет. Я написал какой инструмент нужно использовать для расшифровки файлов.

    Куда благодарность прислать?
    http://virusinfo.info/content.php?r=...fo.info-donate
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    14.10.2014
    Адрес
    st.Petersburg
    Сообщений
    6
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Нет. Я написал какой инструмент нужно использовать для расшифровки файлов.
    Возможно, я не так выразилась. К меня половина файлов испорчена на компьютере вследствие того, что сначала был запущен RakhniDecryptor.
    Эти файлы можно каким нибудь инструментом (напр., используя криптографию DotNet и найденный ключ RakhniDecryptor) зашифровать обратно (получить исходный .locked файл)? А потом уже, спокойненько, правильной утилитой расшифровать?
    Извините меня, пожалуйста, что надоедаю...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Эти файлы можно каким нибудь инструментом (напр., используя криптографию DotNet и найденный ключ RakhniDecryptor) зашифровать обратно (получить исходный .locked файл)?
    Нет. Такие файлы не подлежат восстановлению поэтому если хотите спасти их, то восстанавливайте через программы типа R-Studio сначала сами зашифрованные файлы, а потом уже пробуйте использовать утилиту от DrWeb.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #12
    Junior Member Репутация
    Регистрация
    14.10.2014
    Адрес
    st.Petersburg
    Сообщений
    6
    Вес репутации
    8
    R-studo не нашла файлов Locked (вернее, нашла, процента 3 от всего числа). Возможно, это связано с тем, что места на диске мало (поэтому и пришлось установить галочку "удалять файлы").
    Если это не является коммерческой тайной- можно узнать алгоритм раскодирования, используемый RakhniDecryptor и параметры. Хочу все таки, своими силами, обратно закодировать эти файлы и попробовать drWebовскую утилиту.
    Проведенные тесты в DotNetе показали, что такой вариант осуществим вполне. Я не прошу исходники, я надеюсь, что использовался алгоримтм достаточно доступный, не думаю, что создатели вируса делали что-то сверхъестественное.
    кстати, поймали мы этот вирус, скорее всего, из письма Билайна, вот что пишет сам билайн нам:
    Недавно были зафиксированы факты рассылки электронных писем с файлом, содержащим вирусную программу.

    Письмо отправляется от имени вымышленного сотрудника компании Антона Кудряшова, руководителя по корпоративным и внешним коммуникациями ОАО «ВымпелКом», с почтовых ящиков: info@beelinemail.ru и info@beeline-mail.ru с информацией о неоплаченном счете за услуги связи и сроком погашения задолженности.

    Во вложении содержится документ под именем: «Счет № 522375-ФЛОРЛ-14-115.doc». При открытии текстового файла компьютер может быть заражен вирусом Trojan.

    Предостерегаем Вас от последствий вирусной рассылки и убедительно просим:
    - Не открывать файл, прикрепленный к такому письму;
    - Как можно быстрее сообщить о поступившем письме в Центр поддержки корпоративных клиентов по номеру 0628 или Вашему персональному менеджеру.

    Напоминаем,что все информационные сообщения о необходимости оплаты от имени ОАО «ВымпелКом» поступают с адреса invoice@beeline.ru

    Призываем Вас проявить бдительность в возможных аналогичных ситуациях!
    Последний раз редактировалось st.solovey; 24.10.2014 в 14:39.

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Нужна помощь!
    От Капченый в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 03.11.2010, 00:16
  2. Очень нужна помощь!!
    От Len4ik89 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.11.2010, 01:56
  3. Очень нужна помощь!
    От Samonuske в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 28.04.2009, 18:25
  4. очень срочно нужна помощь
    От InGodWeTrust в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 16.03.2009, 19:38
  5. Нужна помощь
    От Antaris в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 16.03.2009, 12:42

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00829 seconds with 20 queries