3 ответов в этой теме

[Jakob]

Прошу прощения, если такие темы уже были.

Сразу говорю - тему про шифровальщики и все с ней связанное я прочел, однако остались вопросы.

Словили шифровальщик. Как только поняли, вырубили комп.

Теперь думаем что делать. Появились следующие вопросы:

1) Насколько я понял, лаборатория DrWeb оказывает услуги по дешифрованию только пользователям, купившим лицензию. На данный момент лицензии нет, однако под такой случай можем приобрести. Какую именно надо брать, чтобы получить помощь?

2) Есть шанс, что не все файлы еще зашифрованы. Насколько я понял, оставшиеся живые файлы можно вытащить при помощи Live системы. Имеет значение какую систему загружать (юникс, линукс, винда) или все равно?

3) В момент заражения был воткнут переносной хард. Часть файлов на харде пострадало. Переносятся ли шифровальщики через съемные носители, или втыкать его в другой комп безопасно?

4) Насколько я понял, сам вирус лечить сразу нельзя - он может понадобиться при расшифровке файлов. Из всех описаний я так и не понял в какой момент его надо лечить?

Заранее благодарю за ответы,

Яков.

[B.Chugunov]

1) нет, условие бесплатной расшифровки, если она возможна - установленный антивирус определенной версии на момент шифрования, подробнее здесь
https://news.drweb.ru/show/?c=5&i=9713&lng=ru
Платная расшифровка при ее наличии для всех остальных
Соответственно для написания в техподдержку с данным вопросом покупать лицензию не обязательно. 

2) любая Live ОС, можете нашим LiveDisk в принципе воспользоваться, другой вопрос сможете ли Вы отличить зашифрованное от незашифрованного, некоторые шифровальщики, особенно нынче распространенный Spora не добавляют расширений и понять, что файл зашифрован можно только прочитав его побайтово, зная структуру или просто открыв в соответствующем для его расширения приложении, что долго. Ну а вообще можно в лоб, скопировать все файлы как есть на диск, перенести на не зараженную машину и проверять что там к чему.  Если расширения добавляет - все проще, но не факт, что часть файлов не была просто побита шифровальщиком. 

3) обычно не переносятся с автозапуском, если Вы об этом, если шифровальщик - скрипт/экзешник, физически залитый на диск и не детектящийся антивирусом, то для его запуска на другой машине Вам необходимо будет заново запустить его ручками для инициализации нового случая шифрования
4) если тип энкодера неизвестный, то анализ его тушки будет полезен вирлабу, если известный, то он практически бесполезен. В любой непонятной ситуации можно добавить в карантин и ничего не лечить и уж тем более ничего не удалять. Лечить и удалять только после вердикта о типе шифровальщика и возможности расшифровки.

Сообщение было изменено B.Chugunov: 15 Февраль 2017 - 14:52

[Jakob]

1) нет, условие бесплатной расшифровки, если она возможна - установленный антивирус определенной версии на момент шифрования, подробнее здесь
https://news.drweb.ru/show/?c=5&i=9713&lng=ru
Платная расшифровка при ее наличии для всех остальных
Соответственно для написания в техподдержку с данным вопросом покупать лицензию не обязательно. 

2) любая Live ОС, можете нашим LiveDisk в принципе воспользоваться, другой вопрос сможете ли Вы отличить зашифрованное от незашифрованного, некоторые шифровальщики, особенно нынче распространенный Spora не добавляют расширений и понять, что файл зашифрован можно только прочитав его побайтово, зная структуру или просто открыв в соответствующем для его расширения приложении, что долго. Ну а вообще можно в лоб, скопировать все файлы как есть на диск, перенести на не зараженную машину и проверять что там к чему.  Если расширения добавляет - все проще, но не факт, что часть файлов не была просто побита шифровальщиком. 

3) обычно не переносятся с автозапуском, если Вы об этом, если шифровальщик - скрипт/экзешник, физически залитый на диск и не детектящийся антивирусом, то для его запуска на другой машине Вам необходимо будет заново запустить его ручками для инициализации нового случая шифрования
4) если тип энкодера неизвестный, то анализ его тушки будет полезен вирлабу, если известный, то он практически бесполезен. В любой непонятной ситуации можно добавить в карантин и ничего не лечить и уж тем более ничего не удалять. Лечить и удалять только после вердикта о типе шифровальщика и возможности расшифровки.

Спасибо за ответ! Еще один вопрос - цену за оказание услуги получается озвучат после подачи заявки?

[B.Chugunov]

Спасибо за ответ! Еще один вопрос - цену за оказание услуги получается озвучат после подачи заявки?

Цену озвучат, только если расшифровка возможна. Так что для начала данный этап нужно пройти.