Перейти к содержимому


Фото
- - - - -

Вирус шифровальщик как вылечить


  • Please log in to reply
24 ответов в этой теме

#1 vipsam2004

vipsam2004

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 10 Март 2014 - 20:20

Добрый день, есть сервер причем очень серьезный там много файлов БД! он заражон вирусом который зашифровал все файлы, на конце расширение relock@qq_com, про проведенному анализу вирус попал путем внешнего почтового ящика! не работает ни 1с ни остальные программы, пробовали на одном из файлов убрать это расширение но не помогло! как это лечить подскажите! не знаю что делать



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 770 Сообщений:

Отправлено 10 Март 2014 - 20:20

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:
  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 10 Март 2014 - 20:25

А лицензия на антивирус есть?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#4 vipsam2004

vipsam2004

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 10 Март 2014 - 20:59

К сожелению нету(((


очень нужна помощ не знаю что делать! бекапов базы нету! что делать дальше не предстьовляю! ПОМОГИТЕ кто может



#5 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 10 Март 2014 - 21:03

К сожелению нету(((


очень нужна помощ не знаю что делать! бекапов базы нету! что делать дальше не предстьовляю! ПОМОГИТЕ кто может

боюсь помощи не будет  :ph34r:


Сообщение было изменено mrbelyash: 10 Март 2014 - 21:04

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#6 vipsam2004

vipsam2004

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 10 Март 2014 - 21:04

а что нужно сделать что бы помощ была?



#7 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 10 Март 2014 - 21:05

а что нужно сделать что бы помощ была?

стать лицензионным пользльзователем :)

 

В связи с огромным наплывом запросов от пользователей других антивирусных продуктов, с 19 июня 2013 г. служба поддержки «Доктор Веб» оказывает бесплатные услуги по расшифровке только владельцам коммерческих лицензий на продукты Dr.Web .

 


Сообщение было изменено mrbelyash: 10 Март 2014 - 21:09

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#8 freemadman

freemadman

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 10 Март 2014 - 21:33

Аналогичная ситуация ЛИЦЕНЗИЯ НА АНТИВИРУС КОММЕРЧЕСКАЯ ЕСТЬ!!! Есть и зараженный файлы и их оригинальный копии, помогите, решить проблему.


Сообщение было изменено freemadman: 10 Март 2014 - 21:34


#9 VVS

VVS

    The Master

  • Moderators
  • 17 980 Сообщений:

Отправлено 10 Март 2014 - 21:37

freemadman, тогда читайте пункт № 3 сообщения №2 в этой теме и выполните всё, что там написано.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#10 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 10 Март 2014 - 21:37

http://forum.drweb.com/index.php?showtopic=315563&page=1


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#11 provayder

provayder

    Poster

  • Posters
  • 1 675 Сообщений:

Отправлено 11 Март 2014 - 15:50

И учтите еще один момент, что не все файлы получится расшифровать на 100%



#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Март 2014 - 15:53

И учтите еще один момент, что не все файлы получится расшифровать на 100%

Вы этого трояна в глаза видели? Нет. Не вводите людей в заблуждение :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 provayder

provayder

    Poster

  • Posters
  • 1 675 Сообщений:

Отправлено 11 Март 2014 - 19:26

 

И учтите еще один момент, что не все файлы получится расшифровать на 100%

Вы этого трояна в глаза видели? Нет. Не вводите людей в заблуждение :-)

 

Я прост человека в курс дела ввожу. На форуме обычно все красиво, и много обещаний о расшифровне, ну так а человек уже с надеждой что его файло расшифруют на 100%. а в итоге хлоп и RSA шифровальщик. и половина базы 1с коту в трубу улетит



#14 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 12 Март 2014 - 21:59

terasc, Вы тут под совсем наивного косите? Нечего тут распространять неизвестно что.



#15 terasc

terasc

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 12 Март 2014 - 23:17

terasc, Вы тут под совсем наивного косите? Нечего тут распространять неизвестно что.

ваше дело, мое дело было предоставить возможную помощь людям, нет так нет мне пофиг по большому счету,

если Вы имеете отношение к drweb то передайте им этот файл может пригодится.

Если б кто выложил дешифратор для интересующего меня шифровальщика AUSI.COM_XE133 я бы не возражал..., у drweb такого нету.



#16 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 12 Март 2014 - 23:25

если Вы имеете отношение к drweb то передайте им этот файл может пригодится.

Кому надо это увидят.

 

 

Если б кто выложил дешифратор для интересующего меня шифровальщика AUSI.COM_XE133 я бы не возражал..., у drweb такого нету.

А вы тут посмотрите. И вообще оцените возможность принципиально сделать такой расшифровщик.


Сообщение было изменено SergM: 12 Март 2014 - 23:33


#17 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 12 Март 2014 - 23:29

Полноценной расшировки нет и она невозможна без приватной части ключа, которая есть только у авторов утилиты и в расшифровщиках их авторства. Соответственно, нам эти расшифровщики нужны. В техподдержке имеется утилита для приемлемого восстановления JPG, DOC и DBF-файлов. Восстановление других типов файлов - по запросу в техподдержку. 

http://forum.drweb.com/index.php?showtopic=315142



#18 terasc

terasc

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 12 Март 2014 - 23:40

я это знаю, т.к. легальный пользовател drweb и в поддержку обращался и форум читал, потому и решил выложить файл который как я и написал люди получили заплатив денег,.., говорят что расшифровка указанного @qq_com прошла удачно.

ессно тестить надо аккуратно, лучше на вирт машине попробовать например


Сообщение было изменено terasc: 12 Март 2014 - 23:42


#19 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 13 Март 2014 - 18:44

Смотрел, мы такое уже расшифровываем.

 

http://forum.drweb.com/index.php?showtopic=316784#entry714581



#20 trade70

trade70

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 07 Октябрь 2014 - 09:51

Сеня бухгалтерия попала получив письмо от службы приставов и есно нажали ссылку там)

Базы 8-ки легко восстановились штатными средствами. Вот 7-ка бызы не так просто все. Шифрует он не весь файл - а первые 255 байт. Поэтому декриптор можно написать - в dbf там как раз заголовки со структурой.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых