в прикрепленных файлах логи и пары зашифрованных файлов и нет.
Прошу помощи !
Прикрепленные файлы:
-
Логи.RAR 86,31К
4 Скачано раз
33 ответов в этой теме
#1
_Марина_
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Октябрь 2012 - 07:25
Тикет [drweb.com #3643893]. Вирус зашифровал все файлы, документы, базы, архивы.
в прикрепленных файлах логи и пары зашифрованных файлов и нет.
Прошу помощи !
в прикрепленных файлах логи и пары зашифрованных файлов и нет.
Прошу помощи !
#2
Dr.Robot
-
- Helpers
- 3 359 Сообщений:
Poster
Отправлено 09 Октябрь 2012 - 07:25
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
#3
RomaNNN
-
- Posters
- 6 001 Сообщений:
Ковальски
Отправлено 09 Октябрь 2012 - 10:45
Запрос создали в нужной категории (Запрос на лечение)? В тикете желательно прикрепить несколько связок "оригинальный файл + он же зашифрованный"
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.
#4
_Марина_
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Октябрь 2012 - 10:53
Да, запрос там и файлы тоже, логи только на форму прикрепила
#5
_Марина_
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Октябрь 2012 - 19:29
не знаю, чем это может помочь, но через winrar-исправление архива (в инете подсказали), архив восстановился, пока несколько баз попробовала запустить - запускается
#6
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 09 Октябрь 2012 - 19:33
ох накличите беду
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#7
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 09 Октябрь 2012 - 19:36
а можно поподробнее?не знаю, чем это может помочь, но через winrar-исправление архива (в инете подсказали), архив восстановился, пока несколько баз попробовала запустить - запускается
У Вас был на диске архив (zip ? rar ? какой?). его попортил (зашифровал) вирус. Вы через winrar смогли открыть этот файл и восстановить?
#8
_Марина_
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 09 Октябрь 2012 - 19:40
да архивы были, размеры по 1.5 гига, стерла левое расширение, затем в винраре выбрала прямо в окне, не через открыть, затем кнопарик Исправление он спрашивает путь и шуршит, ну там сообщение выдает про неизвестный конец архива, тем не менее восстановил базы.
1с8 сразу заустилась база, 1с7 сначала не хотела, но это из-за русского названия каталога с базой, переименовала - тоже запустилась.
В инете сказали что часть архива восстановится, я еще не все проверила, тока самое важное ..
p.s. архивы rar
вирус все зашифровал и походу сам удалился.
Вот такой текст был в каждой папке:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
4a6yTE7J8Q3k6m56w46jM0b3YDVkFcA
====================================================================
1с8 сразу заустилась база, 1с7 сначала не хотела, но это из-за русского названия каталога с базой, переименовала - тоже запустилась.
В инете сказали что часть архива восстановится, я еще не все проверила, тока самое важное ..
p.s. архивы rar
вирус все зашифровал и походу сам удалился.
Вот такой текст был в каждой папке:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
4a6yTE7J8Q3k6m56w46jM0b3YDVkFcA
====================================================================
Сообщение было изменено _Марина_: 09 Октябрь 2012 - 19:43
#10
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 10 Октябрь 2012 - 08:03
дождитесь ответа аналитика, или тулузы для расшифровки.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#11
_Марина_
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 10 Октябрь 2012 - 08:17
Ждем, вчера Vladimir Martyanov via RT ответил "Пока не ясно, что это такое. Нужен троян, который файлы шифровал." 
#12
alx38
-
- Members
- 2 Сообщений:
Newbie
Отправлено 10 Октябрь 2012 - 09:11
такая же проблема, всё что было доступно пользователю - зашифровано. Есть файл:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
f7AP7Yins19hB9CkrXM9VjVnxmkqHsFR
====================================================================
и даже вроде есть сам троян - 2 файла:
C:\Documents and Settings\%username%\SelfDel.exe
C:\Documents and Settings\%username%\svchost.exe
CureIt их идентифицирует как Tool.EnCoder.161
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
f7AP7Yins19hB9CkrXM9VjVnxmkqHsFR
====================================================================
и даже вроде есть сам троян - 2 файла:
C:\Documents and Settings\%username%\SelfDel.exe
C:\Documents and Settings\%username%\svchost.exe
CureIt их идентифицирует как Tool.EnCoder.161
#13
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 10 Октябрь 2012 - 09:21
Tool.EnCoder.161 тоже в вирлаб вместе с несколькими зашифроваными документами
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#14
alx38
-
- Members
- 2 Сообщений:
Newbie
Отправлено 10 Октябрь 2012 - 10:17
Tool.EnCoder.161 тоже в вирлаб вместе с несколькими зашифроваными документами
[drweb.com #3645901]
#15
VVS
-
- Moderators
- 19 817 Сообщений:
The Master
Отправлено 12 Октябрь 2012 - 12:57
Маруся Степ, Вы можете создать отдельную тему с подробным описанием Вашей проблемы.
Т.к. Ваше сообщение не имеет отношения к этой теме, то оно удалено.
Модератор.
Т.к. Ваше сообщение не имеет отношения к этой теме, то оно удалено.
Модератор.
Сообщение было изменено VVS: 12 Октябрь 2012 - 12:57
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#16
DimaDagget
-
- Members
- 2 Сообщений:
Newbie
Отправлено 12 Октябрь 2012 - 13:32
Прошу помощи. То же самое. Все файлы на диске D .EBF и база 1с не открывается, но формат не изменился.файл исходник и перекодированный прилогаю. Пароль якобы вот -====================================================================Wvpjn7BdXvacYUD7H97quu1hEwyrNAwl====================================================================
Прикрепленные файлы:
-
files.rar 36,81К
2 Скачано раз
Сообщение было изменено DimaDagget: 12 Октябрь 2012 - 13:33
#17
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 12 Октябрь 2012 - 13:48
Те же самые рекомендации.Прошу помощи. То же самое.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#18
S.A.M.
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 12 Октябрь 2012 - 15:23
Добавил и я свои файлы (оригинал + зашифрованный)
https://vms.drweb.com/sendvirus/
к сожалению файлы слишком большие (по 2Мб) для загрузки на форум
файлы можно скачать тут:
https://docs.google.com/folder/d/0B8NDFQkcySAlOGNLcGh5dFlZVmM/edit
в сообщении код: GoLPMU4yCpY8FM0OiZrJHQSOR1afwrbM
не совсем понимаю, о чём речь в предыдущем сообщении "Те же самые рекомендации."
https://vms.drweb.com/sendvirus/
к сожалению файлы слишком большие (по 2Мб) для загрузки на форум
файлы можно скачать тут:
https://docs.google.com/folder/d/0B8NDFQkcySAlOGNLcGh5dFlZVmM/edit
в сообщении код: GoLPMU4yCpY8FM0OiZrJHQSOR1afwrbM
не совсем понимаю, о чём речь в предыдущем сообщении "Те же самые рекомендации."
#19
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 12 Октябрь 2012 - 15:33
S.A.M., Вам надо всю эту информацию и файлы (ссылки на них) в том числе, Указать в своем тикете. Новый запрос создавать не надо, просто ответь на письмо с тикетом, добавив недостающую информацию. Убедитесь в правильной категории запроса.
#20
S.A.M.
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 12 Октябрь 2012 - 15:46
Добавлю и я свои файлы (оригинал + зашифрованный).
или я вас не понял?
на https://vms.drweb.com/sendvirus/ файлы загрузили и отправились сразу, там же немного описания добавлялS.A.M., Вам надо всю эту информацию и файлы (ссылки на них) в том числе, Указать в своем тикете. Новый запрос создавать не надо, просто ответь на письмо с тикетом, добавив недостающую информацию. Убедитесь в правильной категории запроса.
или я вас не понял?
