Как вылечить.
Все файлы зашифрованы Rar
#1
Отправлено 25 Декабрь 2009 - 10:21
Как вылечить.
#2
Отправлено 25 Декабрь 2009 - 10:28
Не могли бы Вы прислать копию не зашифрованного файла.Для этого возможно прийдется воспользоваться программами восстановления удаленных файловВсе файлы зашифрованы RAR и появилось расширение ._crypt_.rar
Как вылечить.
#3
Отправлено 25 Декабрь 2009 - 10:31
#4
Отправлено 25 Декабрь 2009 - 10:36
Там фишка в чем....Он шифрует и файлы удаляет.Как правило их можно восстановить.Для примера http://grandutils.com/RU/Back2Life/Если бы были незашифрованные, было бы все хорошо. Так все файлы зашифрованы. Сам вирус видимо удалил, но вот теперь такая неприятность в виде поломанных файлов осталась.
Некоторые рекомендуют http://www.cgsecurity.org/wiki/PhotoRec_Шаг_за_шагом
P.S.
И кажись не фига это не рар а скорей всего зип..судя по внутренностям
#5
Отправлено 25 Декабрь 2009 - 10:55
#6
Отправлено 25 Декабрь 2009 - 11:00
Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..
#7
Отправлено 25 Декабрь 2009 - 11:07
#8
Отправлено 25 Декабрь 2009 - 11:14
Ладно,проехалиТ.е. зашифрованные архивы содержат пустой файл?
Обратитесь в суппорт https://support.drweb.com/new/tech/
#9
Отправлено 25 Декабрь 2009 - 11:18
В любом случае спасибо.
#10
Отправлено 25 Декабрь 2009 - 11:18
Проблема в том, что восстановить эти файлы не получится...Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..
Так как вирус удаляет и создает новые файлы последовательно а не сразу все.
Восстанавливается максимум 1-2% информации.
#11
Отправлено 25 Декабрь 2009 - 11:20
Ён же их не забивает нулямиПроблема в том, что восстановить эти файлы не получится...Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..
Так как вирус удаляет и создает новые файлы последовательно а не сразу все.
Восстанавливается максимум 1-2% информации.
Имея файл до шифрования и файл после шифрования можно ускорить работу...Хотелось бы конечно и троянчика в вирлаб
#12
Отправлено 25 Декабрь 2009 - 11:25
#13
Отправлено 25 Декабрь 2009 - 11:37
Хм, Gigabyte63 , а где он их создает то?
Так. Объясняю по-порядку что известно мне.
Архив: 7zip или zip с AES-256 шифрованием и методом сжатия скорее всего LZMA2.
Действие вируса: создается запароленный архив. Переименовывается и удаляется исходный файл (иначе даже никак не могу объяснить отсутствие хвостов исходных файлов при попытках восстановления). Следовательно каждый последующий создаваемый архив затирает предыдущий исходный файл!!!
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!!
#14
Отправлено 25 Декабрь 2009 - 11:39
Хм, Gigabyte63 , а где он их создает то?
Так. Объясняю по-порядку что известно мне.
Архив: 7zip или zip с AES-256 шифрованием и методом сжатия скорее всего LZMA2.
Действие вируса: создается запароленный архив. Переименовывается и удаляется исходный файл (иначе даже никак не могу объяснить отсутствие хвостов исходных файлов при попытках восстановления). Следовательно каждый последующий создаваемый архив затирает предыдущий исходный файл!!!
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!!
Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#15
Отправлено 25 Декабрь 2009 - 12:13
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]
Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]
Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит.
#16
Отправлено 25 Декабрь 2009 - 12:15
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]
Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]
Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит.
[/quote]
Тогда их пытайте каленым железом. Иначе шансы почти нулевые.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17
Отправлено 25 Декабрь 2009 - 12:38
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]
Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]
Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит.
[/quote]
Тогда их пытайте каленым железом. Иначе шансы почти нулевые.
[/quote]
А какой смысл может иметь то, что они делали до этого? Я примерно представляю - из интернета или с флэшки запустили файл а может как кидо использовалась сетевая уязвимость. У них было 2 админа заведено на серваке и все без паролей!!! В коммерческой организации их давно бы уже при всех повесили! Потом пару часов 100% загрузка проца процессом winlogon (пока ночью с 21 на 22 декабря шло шифрование и архивация). потом с утра они пришли на работу - и все. Ничего не запускается, документов по сети нету.
#18
Отправлено 25 Декабрь 2009 - 12:40
Личный сайт по Энкодерам - http://vmartyanov.ru/
#19
Отправлено 25 Декабрь 2009 - 12:41
Личный сайт по Энкодерам - http://vmartyanov.ru/
#20
Отправлено 25 Декабрь 2009 - 12:43
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых