Printable View
[email][email protected][/email]
зашифрованы и переименованы все файлы офиса и акробата.
ссылка на зашифрованный файл
[url]https://cloud.mail.ru/public/EM3v/WuAvTz4Qb[/url]
перед проверкой вашей программы прогнал доктора веба. что то нашел и удалил.
логи выложил.
Уважаемый(ая) [B]mishara[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
С вирусом то я справился. а вот как быть с зашифрованными файлами.
корел , акробат, верд.
все что нажито непосильным трудом.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
В процессе работы программы frst вылетела ошибка . файл лога я тоже включил в архив
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1177238915-1214440339-1417001333-1006 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-1177238915-1214440339-1417001333-1006 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-1177238915-1214440339-1417001333-1006 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR DefaultSearchURL: Default -> hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a28cf6982b0bc3abe2be8a079f1da70&text={searchTerms}
CHR Plugin: (Native Client) - C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\44.0.2403.157\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\44.0.2403.157\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\Application\44.0.2403.157\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File
CHR Plugin: (Google Update) - C:\Documents and Settings\user\Local Settings\Application Data\Google\Update\1.3.21.99\npGoogleUpdate3.dll => No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll => No File
2016-02-01 16:41 - 2016-02-01 16:41 - 01014962 _____ C:\Program Files\desk.bmp
2016-01-29 17:10 - 2016-02-01 16:41 - 00000081 _____ C:\Program Files\RNYVZJJGJF.RLP
2016-02-01 16:41 - 2016-02-01 16:41 - 0119989 _____ () C:\Program Files\desk.jpg
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Все выполнил.
Есть ли еще надежда на возможность дешифрации файлов?
оперативные файлы восстановил из копий, а вот большая часть .... как у Штирлица - все в цифрах.
С расшифровкой не поможем
[QUOTE=thyrex;1356656]С расшифровкой не поможем[/QUOTE]
Обидно.
то есть на моем компе нет следов ключа шифрования ? но вирус работал два дня - вечером , выключили и пол следующего дня.. поэтому ключ должен быть на компе.
получается у вас нет метода и механизма для восстановления.
Юридически - все в норме. Вирус обличен и уничтожен. Задачу свою выполнили. Молодцы. А дальше - это ваши проблемы.
Но у вас по идее такой опыт, программирования и поиска решений. можете найти иголку в стоге сена. а ключ на компе искать не хотите. или не желаете. наверно слишком трудоемко . Или начнете помогать за деньги, тут же обвинят, что сами и написали. И не отмажешься.
Не обижайтесь. Я не имел причины оскарбить. Вы и так делаете и помогаете много и это правильно.
Но на решение архи сложных задач еще не доросли.
Дерзайте.
Предложите быстрый способ разложить три числа длиной 2048 бит каждый на простые множители - с радостью поможем
[QUOTE=thyrex;1356894]Предложите быстрый способ разложить три числа длиной 2048 бит каждый на простые множители - с радостью поможем[/QUOTE]
[QUOTE=thyrex;1356894]Предложите быстрый способ разложить три числа длиной 2048 бит каждый на простые множители - с радостью поможем[/QUOTE]
Я не имел в виду подбор ключа. Это действительно практически не возможно.
Я имел в виду как то понять механизм работы вируса по поводу где он ключ прячет, ну и алгоритм конечно работы самого вируса. Попытаться найти ключ и самим же механизмом вируса дешифровать. Всеж на компе осталось, кроме активного вируса, и то наверно в карантине. Если конечно вирус не берет в качестве ключа случайное число и хранится только в оперативке. Тогда требование денег за расшифровку - просто понт.
я не знаю, на сколько сложно заметить работу шифрователя ... . И так бедного пользователя задалбливают всевозможными вопросами о правомочности действий. Вот он и жмет ДА не читая и несооброжая. И его понять то же надо - у него от своей работы голова пухнет и напряжение и сосредоточение сильное. . Тогда действительно я сам и виноват. Наивно думал, что добрые дятьки нашли противоядие от плохих дядек.
Слабое место - старые компы и низкая компьютерная грамотность.
Фейман не пытался подбирать шифр к сейфу, а тщательно изучал стол о блокнот секрктарши. И имел успех.
Все необходимое для расшифровки хранится внутри каждого зашифрованного файла. Именно эта информация спрятана под тремя ключами RSA
[QUOTE=thyrex;1357036]Все необходимое для расшифровки хранится внутри каждого зашифрованного файла. Именно эта информация спрятана под тремя ключами RSA[/QUOTE]
а эти ключи где взять? Разве для шифрования и дешифрования используются разные ключи ? Когда то под линуксом генерировал ключи для впн соединения - открытый и закрытый. Потом все равно передаешь клиенту сгенерированные ключи. Иначе он не расшифрует. Тут разве другой механизм? Вирус ключи не из воздуха же берет.? Чем отличается нормальная программа шифрованиф от вирус тогда? Не придумали же они ноу-хау ? за два года и ни каких подвижек? Вот я и говорю - ограничились действиями только найти и обезвредить.
Почитайте про RSA-шифрование и сами ответите на свой вопрос. Ключи шифрования уникальные для каждого компьютера