107 ответов в этой теме

[Jokerok7]

Так и не решили проблему?

[userr]

Так и не решили проблему?

проблема у каждого своя. Вы файлы в вирлаб отправили (зашифрованные и сам вирус)?

[kazinaki]

ДОбрый день. Поймали такой же вирус. Вытащил файл .RN отправил на вирлаб. Тикет #3262997. Через 3 дня прислали код. Код подходит, но при расшифровке расшифровывает эти же файлы .RN. Посмотрел на них внимательно, это просто файлы переименованы и сменено расширение. Видимо вирус сначала переименовывает их а потом lockdir'ом шифрует. Методом тыка стал восстанавливать расширения, т.к. в основном вордовские и экселевские файлы. Такие дела.

[v.martyanov]

ДОбрый день. Поймали такой же вирус. Вытащил файл .RN отправил на вирлаб. Тикет #3262997. Через 3 дня прислали код. Код подходит, но при расшифровке расшифровывает эти же файлы .RN. Посмотрел на них внимательно, это просто файлы переименованы и сменено расширение. Видимо вирус сначала переименовывает их а потом lockdir'ом шифрует. Методом тыка стал восстанавливать расширения, т.к. в основном вордовские и экселевские файлы. Такие дела.

Ну тут все вопросы к авторам софтины. На самом деле там HEX-кодирование имен, так что любой программер напишет тулзу.

[kazinaki]

Чуть не забыл: спасибо сотрудникам Веба за помощь!!!

Ну тут все вопросы к авторам софтины. На самом деле там HEX-кодирование имен, так что любой программер напишет тулзу.

Можно поподробнее?

[v.martyanov]

Имя состоит из HEX-цифр: 0-1 и A-F. Берем по 2 цифры, переводим в значение, получаем символ исходного имени: "303132.RN" - 0x30, 0x31, 0x32 - "012".

[kazinaki]

Имя состоит из HEX-цифр: 0-1 и A-F. Берем по 2 цифры, переводим в значение, получаем символ исходного имени: "303132.RN" - 0x30, 0x31, 0x32 - "012".

Спасибо уже забрался.

[Jokerok7]

проблема у каждого своя. Вы файлы в вирлаб отправили (зашифрованные и сам вирус)?

Конечно отправлял, но результат нулевой. Видимо у меня более жёсткий шифратор, чем RN.

Сообщение было изменено Jokerok7: 14 Март 2012 - 11:51

[Borka]

проблема у каждого своя. Вы файлы в вирлаб отправили (зашифрованные и сам вирус)?

Конечно отправлял, но результат нулевой. Видимо у меня более жёсткий шифратор, чем RN.

Что есть "результат нулевой"? Вам не ответили, файлы не расшифровываются, что-то другое?

[Jokerok7]

Что есть "результат нулевой"? Вам не ответили, файлы не расшифровываются, что-то другое?

Сказали что из-за попыток самодеятельности нет ни желания, не сил помогать.

Сообщение было изменено Jokerok7: 14 Март 2012 - 13:13

[Borka]

Что есть "результат нулевой"? Вам не ответили, файлы не расшифровываются, что-то другое?

Сказали что из-за попыток самодеятельности нет ни желания, не сил помогать.

Прямо так и сказали?

[Jokerok7]

Прямо так и сказали?

Да, именно так(

[adp1965]

Интересно, кто-нибудь обращался в полицию с заявлением по данному вымогательству? Помоему это дело чисто для полиции.

[killerlost]

сегодня пришел на работу, базы пропали на 1С и документы многих пользователей

Решение было такое:
1. Каталог пользователя
2. отображать скрытые файлы
3. каталог Thumbs.ms( туда копирует всю инфу и документы)
4. соответственно куча каталогов в середине пока не добрался до тех которые мне нужны
5. и финал перенес все на место ))))

Сообщение было изменено killerlost: 21 Май 2012 - 10:13

[userr]

killerlost,
То есть файлы не были зашифрованы? Это отлично, Вам еще повезло.
сделайте логи по Правилам http://forum.drweb.com/index.php?showtopic=277652 в отдельной теме.

[kisska]

Добрый день !!! Подскажите пожалуйста чем еще можно восстановить удаленный зашифрованный файл ??? Из вирлаба написали прислать зашифрованный файл и указали конкретно какой, а у меня его нигде нет... Пробовала программы :Data REcovery и Recuva - ничего к сожалению, не нашел...ПОМОГИТЕ ПОЖАЛУЙСТА !!! Заранее спасибо Вам.

[SergM]

kisska, Точки восстановления на системе есть?

[kisska]

Спасибо что ответили...первым делом посмотрели, но к сожалению галочки там не стояло - никак не отматаешь до заражения !

[kisska]

_{Извините пожалуйста а есть ли еще какие-нибудь действенные способы чтобы найти и восстановить этот вирус (без которого никак не возможно расшифровать все документы как мне написали из вирлаба ) Помогите пожалуйста...уже нервы сдают...Спасибо}

[userr]

kisska,
то есть не зашифрованный файл, а сам файл вируса?
сделайте лог cureit по правилам http://forum.drweb.com/index.php?showtopic=277652 , но ничего не лечить и не удалять из того, что найдёт cureit.