-
Junior Member
- Вес репутации
- 35
Нужна помощь mike 1 (по поводу .locked)
поймали вирус, все файлы зашифрованы, их расширения заменены на <оригинальное_расширение>.<locked>
в каждой папке создан текстовый файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ" с таким содержанием:
QUOTE
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.
НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.
ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email protected]
И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.
вымогатели хотят биткоинов на 3000 руб.
воспользовались RakhniDecryptor.
Утилита пароль подобрала, файлы расшифровала (не все- их просто много очень, прервали операцию).
При запуске (открытии) файла- выясняется, что он поврежден.
Оказалось, что размер расшифрованных файлов на 8 байт меньше исходных.
Слава богу есть бекап, но в бекапе не все. хотелось бы спасти по макимуму информацию.
Как их восстановить, и что можно сделать с испорченными?
примеры файлов + лог:
https://drive.google.com/file/d/0B28OOji_l-...iew?usp=sharing
https://drive.google.com/file/d/0B28OOji_l-...iew?usp=sharing
И вот, я снова к Вам, помогите, пожалуйста.
ПыСы: Я работаю по удаленке, так как до сервера территориально непросто мне сейчас добраться, если нужны скрипты, возможно не отключать сеть?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) st.solovey, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте расшифровку выдам, но только после того когда увижу что компьютер не заражен.
http://virusinfo.info/pravila.html
-
-
Junior Member
- Вес репутации
- 35
Повторюсь. Я работаю удаленно, можно ли произвести эти манипуляции с включенной сетью?
-
Сообщение от
st.solovey
Повторюсь. Я работаю удаленно, можно ли произвести эти манипуляции с включенной сетью?
Да.
-
-
Junior Member
- Вес репутации
- 35
Файлы нужны сейчас, а лечить можно и потом.
Платная поддержка как то может помочь в моей ситуации?
-
Ладно, но логи нужны все равно.
-
-
Junior Member
- Вес репутации
- 35
Утилита справилась с задачей!
RakhniDecryptor расшифровал часть файлов неправильно, а галочку "удалять зашифрованные копии" поставили при этом, так как места на компьютере не много было. Поплатились за это.
Возможно ли каким- то образом зашифровать их обратно, используя найденный RakhniDecryptor ключ? А потом прогнать тулзу drWeba?
П.С. Сейчас прогоняю на машине глубокий поиск Касперским, потом займусь логами.
Куда благодарность прислать?
-
Возможно ли каким- то образом зашифровать их обратно, используя найденный RakhniDecryptor ключ? А потом прогнать тулзу drWeba?
Нет. Я написал какой инструмент нужно использовать для расшифровки файлов.
Куда благодарность прислать?
http://virusinfo.info/content.php?r=...fo.info-donate
-
-
Junior Member
- Вес репутации
- 35
Сообщение от
mike 1
Нет. Я написал какой инструмент нужно использовать для расшифровки файлов.
Возможно, я не так выразилась. К меня половина файлов испорчена на компьютере вследствие того, что сначала был запущен RakhniDecryptor.
Эти файлы можно каким нибудь инструментом (напр., используя криптографию DotNet и найденный ключ RakhniDecryptor) зашифровать обратно (получить исходный .locked файл)? А потом уже, спокойненько, правильной утилитой расшифровать?
Извините меня, пожалуйста, что надоедаю...
-
Эти файлы можно каким нибудь инструментом (напр., используя криптографию DotNet и найденный ключ RakhniDecryptor) зашифровать обратно (получить исходный .locked файл)?
Нет. Такие файлы не подлежат восстановлению поэтому если хотите спасти их, то восстанавливайте через программы типа R-Studio сначала сами зашифрованные файлы, а потом уже пробуйте использовать утилиту от DrWeb.
-
-
Junior Member
- Вес репутации
- 35
R-studo не нашла файлов Locked (вернее, нашла, процента 3 от всего числа). Возможно, это связано с тем, что места на диске мало (поэтому и пришлось установить галочку "удалять файлы").
Если это не является коммерческой тайной- можно узнать алгоритм раскодирования, используемый RakhniDecryptor и параметры. Хочу все таки, своими силами, обратно закодировать эти файлы и попробовать drWebовскую утилиту.
Проведенные тесты в DotNetе показали, что такой вариант осуществим вполне. Я не прошу исходники, я надеюсь, что использовался алгоримтм достаточно доступный, не думаю, что создатели вируса делали что-то сверхъестественное.
кстати, поймали мы этот вирус, скорее всего, из письма Билайна, вот что пишет сам билайн нам:
Недавно были зафиксированы факты рассылки электронных писем с файлом, содержащим вирусную программу.
Письмо отправляется от имени вымышленного сотрудника компании Антона Кудряшова, руководителя по корпоративным и внешним коммуникациями ОАО «ВымпелКом», с почтовых ящиков: [email protected] и [email protected] с информацией о неоплаченном счете за услуги связи и сроком погашения задолженности.
Во вложении содержится документ под именем: «Счет № 522375-ФЛОРЛ-14-115.doc». При открытии текстового файла компьютер может быть заражен вирусом Trojan.
Предостерегаем Вас от последствий вирусной рассылки и убедительно просим:
- Не открывать файл, прикрепленный к такому письму;
- Как можно быстрее сообщить о поступившем письме в Центр поддержки корпоративных клиентов по номеру 0628 или Вашему персональному менеджеру.
Напоминаем,что все информационные сообщения о необходимости оплаты от имени ОАО «ВымпелКом» поступают с адреса [email protected]
Призываем Вас проявить бдительность в возможных аналогичных ситуациях!
Последний раз редактировалось st.solovey; 24.10.2014 в 14:39.