Здравствуйте, на компьютере зашифрованы файлы .xls, .txt и другие подобные. Чем можно расшифровать файлы и вылечить компьютер?
Printable View
Здравствуйте, на компьютере зашифрованы файлы .xls, .txt и другие подобные. Чем можно расшифровать файлы и вылечить компьютер?
Уважаемый(ая) [B]reanimator5[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[quote="reanimator5;1113459"]Чем можно расшифровать файлы и вылечить компьютер?[/quote]Каким образом поймали шифровальщика?
[QUOTE=thyrex;1113651]Каким образом поймали шифровальщика?[/QUOTE]
Зашли через RDP.
Есть папка с файлами, в ней скрипты, приложение, .dll и т.д., размер, если сжать в архив, около 120 МБ. Лежит в корне системного диска C:, называется "Recycle.bin", в журнале от антивируса, написан путь запуска шифровальшика, "\\tsclient\D\..bat", карантин пуст.
А восстановить файлы зловреда можете? Можно попробовать воспользоваться программой R Studio и восстановить недавно удаленные файлы.
[QUOTE=mike 1;1113762]А восстановить файлы зловреда можете? Можно попробовать воспользоваться программой R Studio и восстановить недавно удаленные файлы.[/QUOTE]
Могу, только с какого пути? И если я правильно понял, то во время зашифровки компьютер был перезагружен, т.е. зашифровка была не доконца отработана.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ещё раз посмотрел компьютер, много раскидано подозрительных папок, хотя система ставилась пару месяцев назад, кстати в карантине файл ..bat не нашёл, но много других. Много интересного могу выложить, размер архива более 70 МБ. Куда можно прислать?
[QUOTE]Куда можно прислать?[/QUOTE]
По красной ссылке "[B]Прислать запрошенный карантин[/B]" можете прислать подозрительные файлы.
Загрузил.
Шифратора в присланных файлах нет.
Я так и думал. Потому в посте выше писал, что в карантине пусто. В восстановленных файлах интересного ничего не нашёл. Шифровщик чаще один файл или несколько? И какого размера в среднем?
Скорее всего один файл. В предыдущей версии размер файла шифратора был около 200 КБ.
Загрузил ещё один файл, чуть позже третий будет, последний.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Загрузил третий файл. Это восстановление, которое, может быть хоть как-то интересно.
Нашёл из восстановленных файлов ссылку, по которой скачали самораспаковывающийся архив, весит 50 МБ, и на него установлен пароль, загружать его?
Шифратора в присланных файлах нет.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Пришлите еще этот [B]C:\Windows\system32\ftp.exe[/B] файл если найдется.
Загрузил и жду хороших новостей!
[QUOTE]C:\Windows\system32\ftp.exe[/QUOTE]
Чистый.
Мои варианты закончились, и тем не менее жду от куда-нибудь расшифровщика.
Давайте еще так попробуем. Эта утилита может показать некоторые отсутствующие файлы.
[LIST=1][*]Скачайте [B][URL="http://yadi.sk/d/bf-kiaqbNom3T"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Образ автозагрузки.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\COMPAREVERS.EXE
zoo %Sys32%\XNTKRNL.EXE
[/code]
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.
К зашифрованным файлам это не относится, что касательно расшифровки, есть варианты? Или можно забыть про свои файлы?