Нужна помощь mike 1 (по поводу .locked)

[st.solovey]

поймали вирус, все файлы зашифрованы, их расширения заменены на <оригинальное_расширение>.<locked>
в каждой папке создан текстовый файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ" с таким содержанием:
QUOTE
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.

НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.

ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
[email protected]

И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.


вымогатели хотят биткоинов на 3000 руб.

воспользовались RakhniDecryptor.
Утилита пароль подобрала, файлы расшифровала (не все- их просто много очень, прервали операцию).
При запуске (открытии) файла- выясняется, что он поврежден.
Оказалось, что размер расшифрованных файлов на 8 байт меньше исходных.

Слава богу есть бекап, но в бекапе не все. хотелось бы спасти по макимуму информацию.

Как их восстановить, и что можно сделать с испорченными?

примеры файлов + лог:
https://drive.google.com/file/d/0B28OOji_l-...iew?usp=sharing
https://drive.google.com/file/d/0B28OOji_l-...iew?usp=sharing


И вот, я снова к Вам, помогите, пожалуйста.
ПыСы: Я работаю по удаленке, так как до сервера территориально непросто мне сейчас добраться, если нужны скрипты, возможно не отключать сеть?

[Info_bot]

Уважаемый(ая) st.solovey, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте расшифровку выдам, но только после того когда увижу что компьютер не заражен.

http://virusinfo.info/pravila.html

[st.solovey]

Повторюсь. Я работаю удаленно, можно ли произвести эти манипуляции с включенной сетью?

[mike 1]

Повторюсь. Я работаю удаленно, можно ли произвести эти манипуляции с включенной сетью?

Да.

[st.solovey]

Файлы нужны сейчас, а лечить можно и потом.
Платная поддержка как то может помочь в моей ситуации?

[mike 1]

Ладно, но логи нужны все равно.

Информация

Скачайте te94decrypt.exe и сохраните в корень диска С.

В командной строке введите:

Код:

C:\te94decrypt.exe -k 479

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

[st.solovey]

Утилита справилась с задачей!
RakhniDecryptor расшифровал часть файлов неправильно, а галочку "удалять зашифрованные копии" поставили при этом, так как места на компьютере не много было. Поплатились за это.
Возможно ли каким- то образом зашифровать их обратно, используя найденный RakhniDecryptor ключ? А потом прогнать тулзу drWeba?

П.С. Сейчас прогоняю на машине глубокий поиск Касперским, потом займусь логами.
Куда благодарность прислать?

[mike 1]

Возможно ли каким- то образом зашифровать их обратно, используя найденный RakhniDecryptor ключ? А потом прогнать тулзу drWeba?

Нет. Я написал какой инструмент нужно использовать для расшифровки файлов.

Куда благодарность прислать?

http://virusinfo.info/content.php?r=...fo.info-donate

[st.solovey]

Нет. Я написал какой инструмент нужно использовать для расшифровки файлов.

Возможно, я не так выразилась. К меня половина файлов испорчена на компьютере вследствие того, что сначала был запущен RakhniDecryptor.
Эти файлы можно каким нибудь инструментом (напр., используя криптографию DotNet и найденный ключ RakhniDecryptor) зашифровать обратно (получить исходный .locked файл)? А потом уже, спокойненько, правильной утилитой расшифровать?
Извините меня, пожалуйста, что надоедаю...

[mike 1]

Эти файлы можно каким нибудь инструментом (напр., используя криптографию DotNet и найденный ключ RakhniDecryptor) зашифровать обратно (получить исходный .locked файл)?

Нет. Такие файлы не подлежат восстановлению поэтому если хотите спасти их, то восстанавливайте через программы типа R-Studio сначала сами зашифрованные файлы, а потом уже пробуйте использовать утилиту от DrWeb.

[st.solovey]

R-studo не нашла файлов Locked (вернее, нашла, процента 3 от всего числа). Возможно, это связано с тем, что места на диске мало (поэтому и пришлось установить галочку "удалять файлы").
Если это не является коммерческой тайной- можно узнать алгоритм раскодирования, используемый RakhniDecryptor и параметры. Хочу все таки, своими силами, обратно закодировать эти файлы и попробовать drWebовскую утилиту.
Проведенные тесты в DotNetе показали, что такой вариант осуществим вполне. Я не прошу исходники, я надеюсь, что использовался алгоримтм достаточно доступный, не думаю, что создатели вируса делали что-то сверхъестественное.
кстати, поймали мы этот вирус, скорее всего, из письма Билайна, вот что пишет сам билайн нам:
Недавно были зафиксированы факты рассылки электронных писем с файлом, содержащим вирусную программу.

Письмо отправляется от имени вымышленного сотрудника компании Антона Кудряшова, руководителя по корпоративным и внешним коммуникациями ОАО «ВымпелКом», с почтовых ящиков: [email protected] и [email protected] с информацией о неоплаченном счете за услуги связи и сроком погашения задолженности.

Во вложении содержится документ под именем: «Счет № 522375-ФЛОРЛ-14-115.doc». При открытии текстового файла компьютер может быть заражен вирусом Trojan.

Предостерегаем Вас от последствий вирусной рассылки и убедительно просим:
- Не открывать файл, прикрепленный к такому письму;
- Как можно быстрее сообщить о поступившем письме в Центр поддержки корпоративных клиентов по номеру 0628 или Вашему персональному менеджеру.

Напоминаем,что все информационные сообщения о необходимости оплаты от имени ОАО «ВымпелКом» поступают с адреса [email protected]

Призываем Вас проявить бдительность в возможных аналогичных ситуациях!