Перейти к содержимому


Фото
* * * * * 6 Голосов

Зашифрованы файлы. Что делать?


  • Закрыто Тема закрыта
1248 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Октябрь 2013 - 11:43

Итак, у тебя зашифровались файлы. Не беда! Во многих случаях все можно вернуть как было, а ты получишь ценный урок!

 

Что надо делать:

— Отключить машину от интернета. Физически, путем выдергивания соответствующего шнура. Многие трояны неспособны шифровать данные без сети или при ее отсутствии сохраняют пароль локально.

— Определить, шифруются ли файлы в данный момент. Например, изначально вы заметили, что зашифрованы документы, но музыка в порядке. Потом и музыка стала зашифрована. Такое поведение – признак того, что файлы шифруются в данный момент. Если вы не уверены – лучше считайте, что они шифруются в данный момент.

Если файлы шифруются в данный момент – машину надо немедленно выключить по питанию путем выдергивания сетевого шнура. Это спасет хоть какую-то часть данных, а перспективы работы с "живой" машиной туманны.

— Прочитать этот пост ЦЕЛИКОМ и ВНИМАТЕЛЬНО (!!!). На данный момент порча новых данных уже не происходит и можно начинать их восстановление, для чего вам нужно понимать, что делать и чего не делать

— Прочитать http://drw.sh/reg и попытаться найти там признаки именно своего трояна. Нашли – вам в соответствующую тему, причем обязательно прочитайте первый пост из нее. Если по ссылке вашего варианта нет – обращайтесь в техподдержку через http://drw.sh/reh. Можете написать в эту тему, указать признаки заражения. Никаких файлов прикреплять не надо!!! На форуме давать рекомендации по расшифровке не будут, учитывайте это!

— Прочитать http://forum.drweb.com/index.php?showtopic=318125 и при наличии искомой там информации сообщить ее.

 

Что делать не надо:

Каждое действие из приведенного ниже списка может окончательно избавить вас от ваших очень ценных файлов. Даже если эти действия кажутся вам правильными, необходимыми, вам их посоветовали знающие люди. Тем более, что без большинства из них можно прекрасно обойтись!

—  Включать выключенную из-за продолжающегося шифрования машину. Шифрование наверняка снова продолжится :) Если вам нужны с нее данные – есть LiveCD, например. Или можно подключить накопитель к другой машине. Не уверены в своих силах? Отдайте специалисту, предварительно дав ему прочитать этот пост.

—  Переставлять систему. Данные от этого не вернутся, а потерять их, как раз, легко. Более того, переустановка затирает следы трояна и во многих случаях это верный путь попрощаться с данными навсегда.

—  Что-либо удалять, чистить, оптимизировать в системе. См. предыдущий пункт.

—  Сканировать машину антивирусами. Ну, найдете вы трояна, и что? Данные от этого не вернутся. И от удаления трояна – не вернутся. См. предыдущий пункт.

—  Пытаться самостоятельно что-то сделать с файлами, например, переименовать их. Поверьте, у нас работают специалисты, а вы, ваш знакомый Вася или безвестная Маша Козявкина с какого-то форума вряд ли 4 с лишним года занимаются расшифровкой данных после троянов.

 

Что важно знать:

— Услуги помощи при шифровании данных предоставляются зарегистрированным пользователям Dr.Web.

—  Услуги помощи не гарантируют результат. Мы не всесильны. Есть настолько стойкие криптосистемы, что мы не сможем их вскрыть за три, к примеру, месяца. Или за 300 лет. Или даже не знаем, как подойти к проблеме. Всякое бывает. Но, если вы к нам обращаетесь, – мы посмотрим, что можно сделать. Шансы на успех мы не скрываем, дальше решать вам.

—  Я могу ошибаться. Увы, все могут. То, что я сегодня считаю невскрываемым, через месяц может оказаться проще пареной репы. И наоборот.

—  Вероятно, придется ждать. От пары часов до бесконечности. Ждать ответа, ждать создания программы для расшифровки, ждать подбора пароля... Много чего. У нас имеется система назначения меток заявкам, и обычно они не теряются. Если решение появляется – я извещаю об этом в вирлабовских тикетах.


Сообщение было изменено v.martyanov: 23 Июль 2014 - 11:09
поправил ошибки и пунктуацию

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 18 Октябрь 2013 - 07:59

Володь,а можно каким-нибудь лайфсд сделать образ/снимок системы с данными?

Записать/сохранить его на другой например винт.

А сюда поставить с форматом новую ось для работы?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 at.

at.

    Advanced Member

  • Dr.Web Staff
  • 967 Сообщений:

Отправлено 18 Октябрь 2013 - 08:16

Почему ты не пользуешься глушителем? :)  http://drw.sh


--

#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 11:26

Володь,а можно каким-нибудь лайфсд сделать образ/снимок системы с данными?

Записать/сохранить его на другой например винт.

А сюда поставить с форматом новую ось для работы?

Можно, конечно. Но нет особого смысла.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 Arh511

Arh511

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 18 Октябрь 2013 - 13:24

Добрый день! Столкнулся с подобной проблемой. Но в отличие от остальных, не меняет название файлов. Затронуты файлы DBF, DOC, EXCEL. В dbf файлах данные целы, изменена структура заголовков файла, т.е. все значения изменены на символ "и" ( прошу прощения, сам не в курсе конкретного какой символ, т.к. нахожусь не в офисе). Файлов с требованием обратиться по конкретному е-мейл адресу нет. К счастью есть возможность восстановить данные из резервных (резервные файлы сразу же архивируются через winrar и  архивы  не были подвержены изменениям). В настоящий момент больше всего интересует проблема удаления самого вируса. Сканирование через Ваш антивирус версии 9.0 показал наличие вируса только в не открытом письме, и не понятно он это или нет. Так же проблема с браузером "опера" он не запускается ссылаясь на необходимость переустановки, началось одновременно с изменением файла. В офисе небольшая локальная сеть на 5 компьютеров, 2 из которых яв-ся файл-серверами, один из них построен на базе новел очень старой версии, другой на базе вин2003сервер и файлы на нем не подверглись изменениям. Вопрос заключается даже не в восстановлении данных а удалении основы вируса. В заранее спасибо!!!



#6 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 13:29

Судя по описанию - 102й. Если письмо осталось - сохраните его в EML и пришлите в архиве с паролем в вирлаб, в "неопределяемый вирус". В комментариях напишите что нужно полное добавление, а не расшифровка. Мне киньте номер тикета.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#7 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 18 Октябрь 2013 - 13:37

Ну тогда и модерирование темы полностью за Вами.



#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 13:38

Ну тогда и модерирование темы полностью за Вами.

Нивапрос! :-) Ох я разгуляюсь! :-D


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 18 Октябрь 2013 - 13:40

:) Удачки.



#10 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 13:43

Спасибо.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#11 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 18 Октябрь 2013 - 13:45

:) Удачки.

Злой ты, Морозко. © :P


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#12 Arh511

Arh511

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 18 Октябрь 2013 - 13:47

v.martyanov,  к сожалению письмо удалили сразу. Есть естественно файлы подверженные шифрованию. Их прислать?



#13 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 18 Октябрь 2013 - 13:48

 

:) Удачки.

Злой ты, Морозко. © :P

 

Не, я всеобщее развитие. Человек приобретет интересный опыт публичных ответов не всегда адекватым юзерам.  :)  Тут без удачи ну никак просто. 



#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 13:49

v.martyanov,  к сожалению письмо удалили сразу. Есть естественно файлы подверженные шифрованию. Их прислать?

Зачем? Вам же трояна надо извести. Кстати, все ваши пароли уже благополучно у автора трояна.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#15 Arh511

Arh511

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 18 Октябрь 2013 - 14:02

v.martyanov,  прошу прощения за ложную информацию! Только что сообщили о том, что и архивированные файлы подверглись шифрованию. Тогда становится вопрос с определение вида вируса, т.к. не было ни каких сообщений и файлов с е-мейлами. И вопрос по поводу паролей, у нас установлен банк-клиент. Ключ от него на юсб токене нахдоится. На сколько в настоящий момент безопасно пользоваться банк клиентом?



#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Октябрь 2013 - 14:04

Раз все пошифровалось - ждем информации о требованиях и сообщениях.
Банк-клиентом, вероятно, безопасно.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 Sil-Silent

Sil-Silent

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 21 Октябрь 2013 - 10:04

Затронуты файлы DBF, DOC, EXCEL

А JPG? Открываются? Очень похоже на мой случай. Был не 102, а 103 вирус.

Для получения информации об оплате пришлось сначала найти установленные вирусом обои, а потом повторно заразить компьютер тем же вирусом. И... заплатить в результате, оставалось очень мало времени.

Причем заплатить не абы как, а биткоинами. Автор вируса не дурак, к сожалению...


Сообщение было изменено Sil-Silent: 21 Октябрь 2013 - 10:06


#18 Mielofon

Mielofon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 22 Октябрь 2013 - 14:55

Добрый день.
У меня куча *.REDBULL@PRIEST.COM_RE318
Запрос в техподдержку отправил, жду.
Но вообще надежда есть? Может как то помочь можно?

#19 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 22 Октябрь 2013 - 14:56

Добрый день.
У меня куча *.REDBULL@PRIEST.COM_RE318
Запрос в техподдержку отправил, жду.
Но вообще надежда есть? Может как то помочь можно?

 

Подождать ответа тех. поддержки. :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 22 Октябрь 2013 - 14:58

Добрый день.
У меня куча *.REDBULL@PRIEST.COM_RE318
Запрос в техподдержку отправил, жду.
Но вообще надежда есть? Может как то помочь можно?

http://forum.drweb.com/index.php?showtopic=315142 Все уже написано :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых