104 ответов в этой теме

[Зоркий]

Все файлы зашифрованы RAR  и появилось расширение ._crypt_.rar




Как вылечить.

Прикрепленные файлы:

•  ___________________.doc_crypt_.rar   3,49Мб   71 Скачано раз

[mrbelyash]

Все файлы зашифрованы RAR  и появилось расширение ._crypt_.rar
Как вылечить.

Не могли бы Вы прислать копию не зашифрованного файла.Для этого возможно прийдется воспользоваться программами восстановления удаленных файлов

[Зоркий]

Если бы были незашифрованные, было бы все хорошо. Так все файлы зашифрованы. Сам вирус видимо удалил, но вот теперь такая неприятность в виде поломанных файлов осталась.

[mrbelyash]

Если бы были незашифрованные, было бы все хорошо. Так все файлы зашифрованы. Сам вирус видимо удалил, но вот теперь такая неприятность в виде поломанных файлов осталась.

Там фишка в чем....Он шифрует и файлы удаляет.Как правило их можно восстановить.Для примера http://grandutils.com/RU/Back2Life/
Некоторые рекомендуют http://www.cgsecurity.org/wiki/PhotoRec_Шаг_за_шагом

P.S.
И кажись не фига это не рар а скорей всего зип..судя по внутренностям

[Зоркий]

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

[mrbelyash]

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.

[Зоркий]

Т.е. зашифрованные архивы содержат пустой файл?

[mrbelyash]

Т.е. зашифрованные архивы содержат пустой файл?

Ладно,проехали
Обратитесь в суппорт https://support.drweb.com/new/tech/

[Зоркий]

Не, ну защифрованный файл восстановить не удалось. Можно только попробовать восстановить все удаленные данные с жесткого диска прогой тиnо BAD copy pro?

В любом случае спасибо.

[Gigabyte63]

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.

Проблема в том, что восстановить эти файлы не получится...
Так как вирус удаляет и создает новые файлы последовательно а не сразу все.
Восстанавливается максимум 1-2% информации.

[mrbelyash]

Там файл внутри архива файл, так что он не удален, - но на нем пароль, вот..

Вы не поняли....Можно восстановить удаленный файл.Троян шифрует его,а потом исходный удаляет.

Проблема в том, что восстановить эти файлы не получится...
Так как вирус удаляет и создает новые файлы последовательно а не сразу все.
Восстанавливается максимум 1-2% информации.

Ён же их не забивает нулями
Имея файл до шифрования и файл после шифрования можно ускорить работу...Хотелось бы конечно и троянчика в вирлаб

[Зоркий]

Хм, Gigabyte63 , а где он их создает то?

[Gigabyte63]

Хм, Gigabyte63 , а где он их создает то?

Так. Объясняю по-порядку что известно мне.
Архив: 7zip или zip с AES-256 шифрованием и методом сжатия скорее всего LZMA2.
Действие вируса: создается запароленный архив. Переименовывается и удаляется исходный файл (иначе даже никак не могу объяснить отсутствие хвостов исходных файлов при попытках восстановления). Следовательно каждый последующий создаваемый архив затирает предыдущий исходный файл!!!
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!!

[v.martyanov]

Хм, Gigabyte63 , а где он их создает то?

Так. Объясняю по-порядку что известно мне.
Архив: 7zip или zip с AES-256 шифрованием и методом сжатия скорее всего LZMA2.
Действие вируса: создается запароленный архив. Переименовывается и удаляется исходный файл (иначе даже никак не могу объяснить отсутствие хвостов исходных файлов при попытках восстановления). Следовательно каждый последующий создаваемый архив затирает предыдущий исходный файл!!!
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!!

Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.

[Gigabyte63]

[quote name='v.martyanov' post='361177' date='25/12/2009 12:39'][quote name='Gigabyte63' post='361174' date='25/12/2009 12:37'][quote name='Зоркий' post='361171'
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]

Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]

Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит.

[v.martyanov]

[quote name='Gigabyte63' post='361217' date='25/12/2009 12:13'][quote name='v.martyanov' post='361177' date='25/12/2009 12:39'][quote name='Gigabyte63' post='361174' date='25/12/2009 12:37'][quote name='Зоркий' post='361171'
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]

Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]

Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит.
[/quote]

Тогда их пытайте каленым железом. Иначе шансы почти нулевые.

[Gigabyte63]

[quote name='v.martyanov' post='361219' date='25/12/2009 13:15'][quote name='Gigabyte63' post='361217' date='25/12/2009 12:13'][quote name='v.martyanov' post='361177' date='25/12/2009 12:39'][quote name='Gigabyte63' post='361174' date='25/12/2009 12:37'][quote name='Зоркий' post='361171'
Ни один крякер паролей не берет этот формат сжатия.
Отправка денег НЕ ПОМОГАЕТ!!![/quote]
Гыгы, уже и бабло отправили :-D Вспоминайте лучше, что перед шифрованием делали.
[/quote]

Что тут вспоминать. Сервер не мой. А из филиала. У меня то все норм работает и бэкапы и антивирусы. А там... Там нчиего не было. и Такое ощущение они по инету лазили еще с сервака.
Людям зарплату платить (у нас гос. бюджетная организация так что никого не накажут все равно) - а базы 1С *.md и т.д. все пошифрованы. вот что самое срочное. Остальное то терпит.
[/quote]

Тогда их пытайте каленым железом. Иначе шансы почти нулевые.
[/quote]
А какой смысл может иметь то, что они делали до этого? Я примерно представляю - из интернета или с флэшки запустили файл а может как кидо использовалась сетевая уязвимость. У них было 2 админа заведено на серваке и все без паролей!!! В коммерческой организации их давно бы уже при всех повесили! Потом пару часов 100% загрузка проца процессом winlogon (пока ночью с 21 на 22 декабря шло шифрование и архивация). потом с утра они пришли на работу - и все. Ничего не запускается, документов по сети нету.

[v.martyanov]

Очень даже большой. Если они вспомнят, что зашли на какой-то сайт и скачали какой-то кодек есть шанс найти этого трояна.

[v.martyanov]

Спросите, качали ли музыку?

[Зоркий]

Не, я не отправил ), но вирь, чисто технически, классный.