файлы на компьютере зашифрованы *.amba

Printable View

14.07.2014, 10:30
trankilla

Вложений: 1

файлы на компьютере зашифрованы *.amba

[h=2][SIZE=3]Здравствуйте, [/SIZE]
[SIZE=3]файлы на компьютере зашифрованы *.amba [/SIZE][/h]есть ли средства для лечения и дешифровки?
Можете помочь?
14.07.2014, 10:31
Info_bot

Уважаемый(ая) [B]trankilla[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.07.2014, 11:37
thyrex

[url]http://media.kaspersky.com/utilities/VirusUtilities/RU/xoristdecryptor.exe[/url] пробовали?
14.07.2014, 11:39
mike 1

+ Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
14.07.2014, 11:43
trankilla

Да.
Пишет что не может решить эту проблему.
14.07.2014, 11:44
thyrex

Делайте лог МВАМ
14.07.2014, 13:43
trankilla

14.07.2014 13:33:57
mbam-log-2014-07-14 (13-33-57).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 1561516
Времени прошло: 13 минут , 32 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

--------------

шифруются не все типы файлов. В основном это пользовательские файлы.

Шифрование происходило как-то очень быстро. За очень короткое время было перешифровано довольно много файлов. Можно предположить, что алгоритм шифрования весьма несложный. Для пример есть пара файлов на примере которых можно попытаться определить, что и как шифруется, в шифровании вероятно используется код написанный в сообщении.

Весь процесс прошел глубокой ночью или ранним утром, когда все сладко спали.

На атакованном компе были отключены некоторые службы. После отработки алгоритма компьютер был перезагружен.
14.07.2014, 13:50
mike 1

Похоже вошли удаленно на сервер через RDP. Пароли меняйте. Без самого тела шифратора дешифровка думаю невозможна.
14.07.2014, 14:33
trankilla

[QUOTE=mike 1;1137031]Похоже вошли удаленно на сервер через RDP. Пароли меняйте. Без самого тела шифратора дешифровка думаю невозможна.[/QUOTE]
вопрос не в том, КАК вошли.
Вопрос в том, КАК ДЕШИФРОВАТЬ. Используемый для шифрования софт мог быть замаскирован под что-угодно ТИПА безобидное.
"Шифрованные" файлы имеют одинаковый размер с оригиналом, шифрование было сделано очень быстро для очень большого количества рабочих файлов, что уже наводит на мысль, что алгоритм довольно банальный.

Если есть шифрованный и нешифрованный файлы, то можно придумать обратный процесс???...
14.07.2014, 14:37
mike 1

[QUOTE]Если есть шифрованный и нешифрованный файлы, то можно придумать обратный процесс?[/QUOTE]
Думаю нет. Нужен сам шифратор.

[QUOTE]вопрос не в том, КАК вошли[/QUOTE]
Ошибаетесь. Один раз вошли значит если не будут приняты соответствующие меры войдут еще раз и опять будут просить денег за расшифровку. ;)
14.07.2014, 14:49
trankilla

Вложений: 1

ЗАДАЧА №1 - ДЕШИФРОВАТЬ те файлы, которые зашифровались.
Программы все рабочие (да и переустановить софт - это не самое сложное), а вот данные к ним, наработки... - это самое то, что нужно. Резервные копии на все не сделаешь, слишком много файлов и большие их объемы.

ВСЕ ОСТАЛЬНОЕ - ЭТО уже задачи административные.

Так есть решение? или нет?
Могу выложить пару файлов для попытки дешифрования (файлы приложены).
14.07.2014, 17:02
mike 1

Еще раз повторюсь

[QUOTE]Без самого тела шифратора дешифровка думаю невозможна.[/QUOTE]