Здравствуйте, на компьютере зашифрованы файлы .xls, .txt и другие подобные. Чем можно расшифровать файлы и вылечить компьютер?
Printable View
Здравствуйте, на компьютере зашифрованы файлы .xls, .txt и другие подобные. Чем можно расшифровать файлы и вылечить компьютер?
Уважаемый(ая) [B]reanimator5[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[quote="reanimator5;1113459"]Чем можно расшифровать файлы и вылечить компьютер?[/quote]Каким образом поймали шифровальщика?
[QUOTE=thyrex;1113651]Каким образом поймали шифровальщика?[/QUOTE]
Зашли через RDP.
Есть папка с файлами, в ней скрипты, приложение, .dll и т.д., размер, если сжать в архив, около 120 МБ. Лежит в корне системного диска C:, называется "Recycle.bin", в журнале от антивируса, написан путь запуска шифровальшика, "\\tsclient\D\..bat", карантин пуст.
А восстановить файлы зловреда можете? Можно попробовать воспользоваться программой R Studio и восстановить недавно удаленные файлы.
[QUOTE=mike 1;1113762]А восстановить файлы зловреда можете? Можно попробовать воспользоваться программой R Studio и восстановить недавно удаленные файлы.[/QUOTE]
Могу, только с какого пути? И если я правильно понял, то во время зашифровки компьютер был перезагружен, т.е. зашифровка была не доконца отработана.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ещё раз посмотрел компьютер, много раскидано подозрительных папок, хотя система ставилась пару месяцев назад, кстати в карантине файл ..bat не нашёл, но много других. Много интересного могу выложить, размер архива более 70 МБ. Куда можно прислать?
[QUOTE]Куда можно прислать?[/QUOTE]
По красной ссылке "[B]Прислать запрошенный карантин[/B]" можете прислать подозрительные файлы.
Загрузил.
Шифратора в присланных файлах нет.
Я так и думал. Потому в посте выше писал, что в карантине пусто. В восстановленных файлах интересного ничего не нашёл. Шифровщик чаще один файл или несколько? И какого размера в среднем?
Скорее всего один файл. В предыдущей версии размер файла шифратора был около 200 КБ.
Загрузил ещё один файл, чуть позже третий будет, последний.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Загрузил третий файл. Это восстановление, которое, может быть хоть как-то интересно.
Нашёл из восстановленных файлов ссылку, по которой скачали самораспаковывающийся архив, весит 50 МБ, и на него установлен пароль, загружать его?
Шифратора в присланных файлах нет.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Пришлите еще этот [B]C:\Windows\system32\ftp.exe[/B] файл если найдется.
Загрузил и жду хороших новостей!
[QUOTE]C:\Windows\system32\ftp.exe[/QUOTE]
Чистый.
Мои варианты закончились, и тем не менее жду от куда-нибудь расшифровщика.
Давайте еще так попробуем. Эта утилита может показать некоторые отсутствующие файлы.
[LIST=1][*]Скачайте [B][URL="http://yadi.sk/d/bf-kiaqbNom3T"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Образ автозагрузки.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\COMPAREVERS.EXE
zoo %Sys32%\XNTKRNL.EXE
[/code]
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.
К зашифрованным файлам это не относится, что касательно расшифровки, есть варианты? Или можно забыть про свои файлы?
Без оригинального дешифратора пока думаю никак.
RakhniDecryptor 1.5.5.0: [url]http://support.kaspersky.ru/10556[/url] уже должен помочь
[QUOTE=thyrex;1117927]RakhniDecryptor 1.5.5.0: [url]http://support.kaspersky.ru/10556[/url] уже должен помочь[/QUOTE]
Благодарю! Всё расшифровал.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Мне приходило несколько писем:
От 10.05.2014[QUOTE]Тема: Письмо с шифровальщиком
Здравствуйте. Не могли бы вы описать, после чего у вас зашифровались все файлы? Вы получили письмо по эл. почте?
Не могли бы вы переслать пришедшее вам письмо с шифровальщиком (хотя бы скриншот + как файлы назывались + сколько их там было + о чем писалось, если удалили)?
Хотелось бы предупредить пользователей нашей компании.[/QUOTE]
И переписка от 16.05.2014:
[QUOTE]Тема: расшифровка
Здравствуйте,
Нашла ваше сообщение вот тут
[url]http://virusinfo.info/showthread.php?t=159121[/url]
и решила вам написать. У меня на работе,
тоже как и у вас, неизвестным способом был зашифрован сервер
в силу сложившихся обстоятельств я вынуждена была приобрести расшифровщик
у злодеев за 25000 рублей и оплатила его с собственного кармана.
Готова поделится с вами расшифровщиком и выслать его вам вперёд
если вы обещаете компенсировать мне мои затраты в любом количестве.
В любом случае я вам буду очень благодарна.
Если вам мое предложение покажется интересным напишите мне на почту [email][email protected][/email]
я вышлю вам расшифровщик который я приобрела и он успешно расшифровал
все файлы и базы на нашем сервере думаю он поможет и вам.
В любом случае вы не чего не теряете. [/QUOTE]
[QUOTE]Буду рад расшифровщику, если без оплат.[/QUOTE]
[QUOTE]Я бухгалтер бюджетной организации приобрела этот расшифровщик за свои деньги. мне в больнице (где я работаю не дали не рубля).
у меня мама инвалид и парализованный отец. также в семье трое детей.
Напишите мне на почту [email][email protected][/email] я вам вышлю расшифровщик который уже помог двум людям. Если ваша организация пожелает мне хоть немного компенсировать мои затраты я буду очень рада. У меня з.п. 22000 рублей. мне не жалко этот файл (а на форуме мои сообщения удаляли 3 раза вместе с вложением, и попросили больше не писать) видимо они не заинтересованны в лечении хотя их можно понять они зарабатывают деньги. я вам файл вышлю вперёд посчитает нужным скинете немного денег если нет тог нет.
2 человека с этого форума получили файл он им помог один скинул 7000 второй 5000, я считаю это очень хорошо. но хочется вернуть хотя бы своё. я не планирую на этом заработать не рубля. я не скрываюсь могу скинуть копию паспорта, рабочий телефон или домашний. Для организации три или 5 тысяч не большие потери, а мне жить можно одну неделю.[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]471[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \smss.exe - [B]Trojan.Win32.Agent.aegib[/B] ( BitDefender: Trojan.Generic.11000906, AVAST4: Win32:Malware-gen )[*] \с другого компьютера\ccrts\quvx.ncz - [B]HEUR:Trojan.Script.Generic[/B] ( DrWEB: Trojan.Siggen6.2654, AVAST4: AutoIt:Injector-G [Trj] )[*] \с другого компьютера\hostname.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Inject1.25501, BitDefender: Gen:Variant.Kazy.190794, AVAST4: Win32:Malware-gen )[*] \с другого компьютера\rasdial.exe - [B]Backdoor.Win32.Androm.drjr[/B] ( BitDefender: Gen:Variant.Symmi.41553, AVAST4: Win32:Malware-gen )[*] \с другого компьютера\vor.exe - [B]HEUR:Trojan.Script.Generic[/B] ( BitDefender: Trojan.Ciusky.Gen.4 )[*] \с другого компьютера\1hydevnc.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Inject1.25501, BitDefender: Gen:Variant.Kazy.190794, AVAST4: Win32:Malware-gen )[/LIST][/LIST]