Перейти к содержимому


Фото
- - - - -

Все файлы зашифрованы Rar


  • Закрыто Тема закрыта
104 ответов в этой теме

#1 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 10:21

Все файлы зашифрованы RAR  и появилось расширение ._crypt_.rar




Как вылечить.

Прикрепленные файлы:



#2 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Декабрь 2009 - 10:28

Все файлы зашифрованы RAR  и появилось расширение ._crypt_.rar
Как вылечить.

Не могли бы Вы прислать копию не зашифрованного файла.Для этого возможно прийдется воспользоваться программами восстановления удаленных файлов

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#3 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 10:31

Если бы были незашифрованные, было бы все хорошо. Так все файлы зашифрованы. Сам вирус видимо удалил, но вот теперь такая неприятность в виде поломанных файлов осталась.

#4 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Декабрь 2009 - 10:36

Если бы были незашифрованные, было бы все хорошо. Так все файлы зашифрованы. Сам вирус видимо удалил, но вот теперь такая неприятность в виде поломанных файлов осталась.

Там фишка в чем....Он шифрует и файлы удаляет.Как правило их можно восстановить.Для примера http://grandutils.com/RU/Back2Life/
Некоторые рекомендуют http://www.cgsecurity.org/wiki/PhotoRec_Шаг_за_шагом

P.S.
И кажись не фига это не рар а скорей всего зип..судя по внутренностям

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#5 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 10:55

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

#6 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Декабрь 2009 - 11:00

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#7 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 11:07

Т.е. зашифрованные архивы содержат пустой файл?

#8 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Декабрь 2009 - 11:14

Т.е. зашифрованные архивы содержат пустой файл?

Ладно,проехали
Обратитесь в суппорт https://support.drweb.com/new/tech/

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#9 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 11:18

Не, ну защифрованный файл восстановить не удалось. Можно только попробовать восстановить все удаленные данные с жесткого диска прогой тиnо BAD copy pro?

В любом случае спасибо.

#10 Gigabyte63

Gigabyte63

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 25 Декабрь 2009 - 11:18

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.

Проблема в том, что восстановить эти файлы не получится...
Так как вирус удаляет и создает новые файлы последовательно а не сразу все.
Восстанавливается максимум 1-2% информации.
P5Kdlx/Q9450/8Gb/3x400Gb- RAID5/GT240-512-DDR5/Win7 x86PAE(patched)

#11 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Декабрь 2009 - 11:20

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.

Проблема в том, что восстановить эти файлы не получится...
Так как вирус удаляет и создает новые файлы последовательно а не сразу все.
Восстанавливается максимум 1-2% информации.

Ён же их не забивает нулями :)
Имея файл до шифрования и файл после шифрования можно ускорить работу...Хотелось бы конечно и троянчика в вирлаб

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#12 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 11:25

Хм, Gigabyte63 , а где он их создает то?

#13 Gigabyte63

Gigabyte63

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 25 Декабрь 2009 - 11:37

Хм, Gigabyte63 , а где он их создает то?


Так. Объясняю по-порядку что известно мне.
Архив: 7zip или zip с AES-256 шифрованием и методом сжатия скорее всего LZMA2.
Действие вируса: создается запароленный архив. Переименовывается и удаляется исходный файл (иначе даже никак не могу объяснить отсутствие хвостов исходных файлов при попытках восстановления). Следовательно каждый последующий создаваемый архив затирает предыдущий исходный файл!!!
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!!
P5Kdlx/Q9450/8Gb/3x400Gb- RAID5/GT240-512-DDR5/Win7 x86PAE(patched)

#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Декабрь 2009 - 11:39

Хм, Gigabyte63 , а где он их создает то?


Так. Объясняю по-порядку что известно мне.
Архив: 7zip или zip с AES-256 шифрованием и методом сжатия скорее всего LZMA2.
Действие вируса: создается запароленный архив. Переименовывается и удаляется исходный файл (иначе даже никак не могу объяснить отсутствие хвостов исходных файлов при попытках восстановления). Следовательно каждый последующий создаваемый архив затирает предыдущий исходный файл!!!
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!!


Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#15 Gigabyte63

Gigabyte63

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 25 Декабрь 2009 - 12:13

[quote name='v.martyanov' post='361177' date='25/12/2009 12:39'][quote name='Gigabyte63' post='361174' date='25/12/2009 12:37'][quote name='Зоркий' post='361171'
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]

Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]

Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит. :)
P5Kdlx/Q9450/8Gb/3x400Gb- RAID5/GT240-512-DDR5/Win7 x86PAE(patched)

#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Декабрь 2009 - 12:15

[quote name='Gigabyte63' post='361217' date='25/12/2009 12:13'][quote name='v.martyanov' post='361177' date='25/12/2009 12:39'][quote name='Gigabyte63' post='361174' date='25/12/2009 12:37'][quote name='Зоркий' post='361171'
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]

Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]

Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит. :)
[/quote]

Тогда их пытайте каленым железом. Иначе шансы почти нулевые.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 Gigabyte63

Gigabyte63

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 25 Декабрь 2009 - 12:38

[quote name='v.martyanov' post='361219' date='25/12/2009 13:15'][quote name='Gigabyte63' post='361217' date='25/12/2009 12:13'][quote name='v.martyanov' post='361177' date='25/12/2009 12:39'][quote name='Gigabyte63' post='361174' date='25/12/2009 12:37'][quote name='Зоркий' post='361171'
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]
Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]

Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит. :)
[/quote]

Тогда их пытайте каленым железом. Иначе шансы почти нулевые.
[/quote]
А какой смысл может иметь то, что они делали до этого? Я примерно представляю - из интернета или с флэшки запустили файл а может как кидо использовалась сетевая уязвимость. У них было 2 админа заведено на серваке и все без паролей!!! В коммерческой организации их давно бы уже при всех повесили! Потом пару часов 100% загрузка проца процессом winlogon (пока ночью с 21 на 22 декабря шло шифрование и архивация). потом с утра они пришли на работу - и все. Ничего не запускается, документов по сети нету.
P5Kdlx/Q9450/8Gb/3x400Gb- RAID5/GT240-512-DDR5/Win7 x86PAE(patched)

#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Декабрь 2009 - 12:40

Очень даже большой. Если они вспомнят, что зашли на какой-то сайт и скачали какой-то кодек есть шанс найти этого трояна.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#19 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Декабрь 2009 - 12:41

Спросите, качали ли музыку?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#20 Зоркий

Зоркий

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 25 Декабрь 2009 - 12:43

Не, я не отправил ), но вирь, чисто технически, классный.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых