• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус заблокировал все файлы jpg, doc и т.д.

Статус
В этой теме нельзя размещать новые ответы.

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
Отправила.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Ага, и снова ожидайте
 

akok

Команда форума
Администратор
Сообщения
19,414
Реакции
13,385
Баллы
2,203
Запустите ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe с параметрами
командной строки -k h25 может что и восстановит.

Собственно ответ.
 

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
Файлов стало в 2 раза больше и все равно ничего не открывается...
 

Вложения

  • Прайс.decrypted01.rar
    698.1 KB · Просмотры: 3
  • Прайс.rar
    698.8 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Сейчас напишу инструкцию

Добавлено через 18 минут 14 секунд
Итак первое, пробуем так:

Копируем несколько зашифрованных файлов в определенную папку, в нее же скачиваем ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe , далее щелкаем правой кнопкой мыши по свободному месту в этой папке, зажав одновременно кнопку Shift, в меню выбираем Открыть окно команд



Откроется окно командной строки



Введите туда следующую информацию:

Код:
te102decrypt -k h25 "Путь к папке в кавычках"

например:

Код:
te102decrypt -k h25 "C:\Users\User\Documents\New Folder"

и нажмите кнопку Enter



В открывшемся окне энкодера нажмите Продолжить



Программа сделает несколько копий расшифрованных файлов, оставляйте только те, которые открываются.

Второй вариант, неофициальный:

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

Для документов небольших размеров можно использовать демо-версии officerecovery:
Восстановить документ Word
Восстановить файл Excel

для больших документов только платную версию.

Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.


Эту же операцию по замене байтов можно выполнить с помощью dd for windows

Командуем в консоли:

Код:
dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"


Обратитесь в полицию

образцы заявлений о преступлении можно посмотреть здесь
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,849
Реакции
2,572
Баллы
593
Какой ID просят указать? На какую почту просят написать?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
нужны файлики? твой шанс тут: [email protected]

номер протокола 23920303 сообщи мне его на почту)))
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,849
Реакции
2,572
Баллы
593
Понятно. Это что-то новенькое (точнее очередной случай за последние пару суток). Скорее всего от одного из тех кренделей, кому Корректор продал исходники
 
Последнее редактирование:

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
Часть файлов прогнала через te102decrypt вроде бы восстанавливаются...не представляю, сколько это может занять времени.
У меня компьютер в локальной сети находится, я надеюсь, ничего не перейдет на другие компы? Сейчас вроде все работает.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
я надеюсь, ничего не перейдет на другие компы?

Давайте тогда пройдем полную диагностику для нашего и вашего спокойствия, для этого нам понадобятся 4 лога.

Логи АВЗ и РСИТ по правилам, затем:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


затем:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
вот
 

Вложения

  • virusinfo_syscheck.zip
    22.7 KB · Просмотры: 0
  • virusinfo_syscure.zip
    24 KB · Просмотры: 1
  • info.txt
    13 KB · Просмотры: 0
  • log.txt
    28 KB · Просмотры: 1

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
2
 

Вложения

  • mbam.txt
    2.6 KB · Просмотры: 1

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
3
 

Вложения

  • SecurityCheck.txt
    2.2 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Повторите сканирование MBAM и удалите все, кроме:

Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\System Volume Information\_restore{6947F1A1-C019-43D5-8B27-C087CE3FC593}\RP8\A0003284.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\Total Commander GP Lite\SOFT\Hide2Tray\MHOOK.DLL (Spyware.Passwords) -> Действие не было предпринято.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.

Проверьте на Virustotal.com данный файл:

Код:
C:\WINDOWS\notepad.exe

Добавлено через 1 минуту 0 секунд
Закрывайте уязвимости:

Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u11-windows-i586.exe)^
Adobe Reader X (10.1.5) - Russian v.10.1.5 Внимание! Скачать обновления
The Bat! Professional v5.3.6 v.5.3.6.0 Внимание! Скачать обновления
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Хорошо. Проблемы еще остаются?
 

Алена

Активный пользователь
Сообщения
25
Реакции
1
Баллы
303
Ну, компьютер виснет периодически. Видимо, систему придется переустанавливать.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу