Допоможіть вірус - шифратор

[AndVan]

Доброго дня.

У мене проблема всі вайли .jpg, .doc, .exl, .rar змінили своє розширення на .akyovzm

Як я розумію це троян - шифратор. допоможіть у вирішенні даної проблеми.. Прикріпив файл який став після віруса.

file.zip

[Sirgo]

Ваш прикріплений файл з вірусом( принаймі мій антивірусник так стверджує)

[AndVan]

Ваш прикріплений файл з вірусом( принаймі мій антивірусник так стверджує)

там лише файл зі зміненим розширенням

file.zip

[Sirgo]

Так ото ж. Спробував відкрити. А там вірусяка сидить filecoder зветься.

[Lisovic]

sirgo, це не вірусняка, це просто твій антивір бачить що файл закриптований і про це тобі каже.

[rusel33]

+1 в пользу "Линуха"

[Sirgo]

sirgo, це не вірусняка, це просто твій антивір бачить що файл закриптований і про це тобі каже.

можливо і так

[buumb1]

як варіант пробуйте покопатись по силці http://support.kaspe...es/disinfection

ще були утиліти від др.веба і нода, пробуйте, а вось і пайдьот

[Lisovic]

Я думаю варто попросити про допомогу тут http://virusinfo.info, там є більше шансів що допоможуть.

Вірус схоже новий, гугл щось нічого такого не знаходить.

[buumb1]

Я думаю варто попросити про допомогу тут http://virusinfo.info, там є більше шансів що допоможуть.

Вірус схоже новий, гугл щось нічого такого не знаходить.

ну якшо по ctb-locker-у http://www.virusresearch.org/ctb-locker-critoni-ransomware-removal/

[AnimaNoir]

що VirusTotal каже.

[LSD]

Совет от хабра: http://habrahabr.ru/post/168677/

Доктора из веба, говорят чего не делать:

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:

- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;

- переустанавливать операционную систему;

- менять расширение у зашифрованных файлов;

- очищать папки с временными файлами, а также историю браузера;

- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;

- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

[Lisovic]

Ага от тільки про розшифровку файлів там мова не йде, і версія віруса там друга.

[LSD]

Метод можна підчерпнути.

Тс би попробував на одному з файлів змінити розширення і знав би чи поребує воно додаткової розшифровки...

[Yuraul]

Так, якщо зміна розширення допомагає відкрити файл, то проблему вирішити можна. А якщо справді все зашифровано, то запийте водою, співчуваю(

[Revolver]

всередині архіва

файл бмп картинка

і по*ерена або ж закодована джепегешка, якби мати оригінал то можна було б прояснити ситуацію.

уже перевірив, 95%, що зашифровано(

а стаття на хабрі, саме про це, не факт, що підійде але напрямок може згодитись.

треба знати звідки підчепили.

якщо ще не зашифрувало всі файли, то вимикайте комп"ютер

і шукайте спосіб або людину

http://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware/

[Revolver]

походу, все складно, та ж стаття російською

http://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/

[CompService]

Вiдключайте вiнт, грузiться з iншого, 100% не зараженого, вивчайте, якi файли пошифрувало, збирайте грошi.

З вiнта з зашифрованими файлами краще нiяких програм не запускати.

[flashmax]

Не факт, що після переведення грошей, файли можна буде відновити.

Я якось випробовуючи антивірусник, запустив один, на той час новий вірус. Він так шифрував файли, що відновити їх не можливо.

Краще за ті гроші купити запасний вінт, і робити бекапи. (і не лазити там де не потрібно)

[LSD]

Якщо все таки проста зміна розширення не вертає файл, я думаю там побайтова заміна значень з генерацією певного хеш ключа для відновлення. Хеш код у Вас на скріні. Алгоритм шифрування вгадати буде складнувато.

Потрібно буде мабуть:

- мати файл точно ідентичний до шифрування і після

- отримати тіло вірусу

- розглянути його в асемблері (порібні знання)

- згенерувати програму дешифратор або виділити механізм дешифрації (я думаю він там є)

Якщо у Вас нема ресурсів і інформація в файлах не несе такого великого значення щоб за неї платити гроші за дешифрацію, форматуйте

[Harddriver]

- розглянути його в асемблері (порібні знання)

О, з цього місця подетальніше

А якщо коротко - "знал бы прикуп ассемблер жил бы в Сочі Пало-Альто, Каліфорнія

І взагалі, - якщо там нормальний довгий ключ, а не якась дурілка типа XOR - зливайте воду, шукайте старі бекапи, або забийте. Платити - в будь - якому разі не раджу (це - далеко не панацея), тай суми таммм.... явно не варті якихось фоток (які ви дивитесь раз в життя) і непотрібних 10-літніх вордовських договорів. А якщо ти лох зашифрувало бухгалтерію - - "это судьба", уви

[Factory]

якщо вечкрок покурити на хабрі статті по всяким взломам паролів і тд то можна того трояні на функції розібрати, я якось там наткнувся на розповідь як чувака на роботу брали, там дуже схожа прога була і тре було найти механізм шифрування вроді,

короче ставте убунту і шукайте віруса з полічним, може хто і поможе,

в любому випадку відпишіться шо і як зробили всім цікаво

[Revolver]

да почитайте статтюподивіться скріни, хто вірить у розшифровку, багато ілюзій відпаде

ще одна стаття

http://securelist.ru/blog/issledovaniya/24070/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/

ідея вибрати 1-2 важливих файли і попросити розкодувати на пробу, ну що мол гроші я заплачу, але чи ви зможете розкодувати.

[rulon]

форумчани аби не створювати нову темку,попрошу допомоги у вас,яким способом (якою прогою) можна збільшити диск с(розбити вінта по-живому) не перестановлюючи вінду.Чесно кажучи проблемно переустановлювати вінду,тому цікавить чи можна так розбити? маю вже розбитих 3 диска + диск с

[Revolver]

щоб розбити диск вам доведеться загрузитись з лав сіді або флешкі,

зробити це можна acronis disk director

перевірений пакет acronis є на http://www.ex.ua/73509690

звичайно, якщо дуже важливо, то можна спочатку зробити бекап вінди acronis true image.