Вредоносная программа шифрования файлов. Помогите!

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 SHOK » 06.08.2011, 18:31

Сегодня заметил что все документы, фотографии и прочее изменило расширение, дописалось следующее "_crypt", к примеру "Canon650 299.psd._crypt", файлы не открываються ничем, также в каждой папке где есть УЖЕ измененные файлы появился текстовый документик !_READ_ME.txt где написано следующее :
---
Вы запустили программу шифрования файлов, в результате Ваши файлы зашифрованы.
Для восстановления Ваших файлов Вам необходимо приобрести наш дешифратор.
Для приобретения дешифратора Вам необходимо пополнить номер 89643004885 на сумму 500 руб.,
после чего связаться с нами по email datarecovery4@yahoo.com для получения дешифратора.

You executed the program of files encrypting, as a result your files are encrypted.
For restoration of your files it is necessary for you to get our decryptor.
For getting of the decryptor it is necessary for you to pay 500 RUR to number 89643004885,
then to contact us on email datarecovery4@yahoo.com for getting decryptor.

=== KEY ===
010200000266000000A400004D338D7E6AAB7C6A
59E9CD305FB221D392CB208425AADF9CD9B1746D
EACD05C2DFE2BC2F74674CACF10C45BFE969963A
616DA0ED5426BBB22E4018AB48375823
=== END ===
---

Кто подскажет как можно вернуть файлы??? перестановка винды говорят не помогает, просто переименовать файл обратно тоже не помогает, каспер оказался гамно-антивирусом :( , попорчены файлы с расширением .doc .docx .jpg .jpeg .htm .rar .css .gif .txt .psd .png .zip и другие..
Или кто знает каким дешифровщиком можно дешифровать, и как или какой программой пароль взломать??? Верить тому что написано в текстовике само собой тупо, отправлять никто деньги не будет.. или будут ло*и..

Файлы видео, музыки не затронуло, также не затронуло файлы на других винчестерах..

ПОМОГИТЕ!! ХЕЛП!!
SHOK
Автор темы, Прохожий
Прохожий
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 1
Темы: 1
Зарегистрирован: 06.08.2011
С нами: 5 лет 4 месяца

Вредоносная программа шифрования файлов. Помогите!

 

#2 Arwed » 08.08.2011, 21:30

Возможно ваших фоток уже нет. Шифрование равноценно форматированию, все байты уже перезаписаны. Попробуйте получить код разблокировки на антивирусных сайтах.
Каспер не может быть говном, если правильно настроен. У вас контроль программ включён?
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 24.06.2011
С нами: 5 лет 5 месяцев

 

#3 Горыныч » 08.08.2011, 21:42

SHOK
Здесь или Здесь пробовали?
На Вашей перфокарте обнаружен вирусЪ, механiзмЪ будет остановлен.
Ремонтировал компьютер, порвал два бубна.
Правила форума
Правила создания тем
Как сделать скриншот
Горыныч
Главные модераторы
Главные модераторы
Аватара
Возраст: 45
Откуда: Китяж-град
Репутация: 654
Лояльность: 64 (+64/−0)
Сообщения: 5178
Темы: 33
Зарегистрирован: 03.07.2011
С нами: 5 лет 5 месяцев

#4 viprus » 11.08.2011, 23:41

Arwed писал(а): Шифрование равноценно форматированию, все байты уже перезаписаны.

О как! :crazy:
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 51
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1821
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 5 лет 6 месяцев

Вредоносная программа шифрования файлов. Помогите!

 

#5 Arwed » 12.08.2011, 19:28

Не равноценно? Как же их расшифровать, не зная пароля?
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 24.06.2011
С нами: 5 лет 5 месяцев

#6 viprus » 13.08.2011, 00:07

У DrWeb сервис есть (ссылка выше) не знаю как к этому случаю (может уже есть), но к свежим вариантам вебовцы обещали сделать, они пишут там алгоритм детский. Так что думаю, что крест ставить рановато, хотя и не исключено. Заявитель что-то молчит, похоже отвалился. Форматнул наверное, не так значит и нужны были те файлы.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 51
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1821
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 5 лет 6 месяцев

 

#7 matwey » 13.08.2011, 00:42

это билд страшного не чего нету,файлы целые но голову поломать придётся.
matwey
Активист форума
Активист форума
Репутация: 21
Лояльность: 3 (+3/−0)
Сообщения: 309
Темы: 13
Зарегистрирован: 14.04.2011
С нами: 5 лет 7 месяцев

#8 viprus » 08.07.2016, 21:39

Опыт лечения от троянцев-шифровщиков

Я хочу поделиться с вами своим опытом.
Около недели назад меня попросили помочь с машиной поймавшей троян-шифровальщик.

Тип троянца - vault, можете погуглить. Гадость достаточно крепкая, все антивирусные конторы сразу в отказ. Утверждают, что расшифровать используемый в нём алгоритм шифрования может только автор самого троянца. И кстати во многих статьях в сети впрямую предлагали связаться с ним и заплатить.

Проршли времена, когда у файлов при этом просто менялось расширение в расчёте на чайников, или они архивировались с коротким паролем (взламывалось достаточно успешно).

Сейчас авторы отбирают наиболее стойкие варианты шифрования (это же их хлеб!). И поджидают жертву покрупнее. При этом сумма выкупа сразу в тексте "приветствия" не озвучивается. В начале они ждут, чтобы жертва вышла на связь. Это означает, что потеряна действительно ценная информация и клиенты готовы заплатить.

Для подтверждения возможности расшифровки жертве предлагается прислать пару файлов. По ним автор старается определить степень платёжеспособности, чтобы не продешевить в требованиях. И выкуп начинается с 20 - 30 тысяч рублей. Согласитесь ему было бы обидно заломить скажем тысяч сто, а клиент сорвётся и больше на связь не выйдет, то есть не он получает ничего. С другой стороны так же обидно получить скажем тысяч 50, кода выяснится, что информация ст0ит пол миллиона. Так что тут всё тонко...

Должен признать, по моему опыту, шансы на расшифровку (без обращения к авторам) сейчас постепенно стремятся к нулю. Да, действительно есть Лаборатория Капсерского, у них три подобных утилиты :

rakhnidecryptor

rectordecryptor

xoristdecryptor

Есть сервис DrWeb (см пост Горыныча - Вредоносная программа шифрования файлов. Помогите!), которые так же берутся расшифровать ваши файлы, если вы - их зарегистрированный пользователь. Но ни, те ни другие ничего не гарантируют. А успех, по моим наблюдениям, у них не превышает 1-2 процентов от обращений. То есть он есть, тогда когда найден вариант решения. Авторам троянца об этом становится известно не просто быстро, они узнают об этом первыми. И? Они естественно в дальнейшем сразу же переходят на ещё более сложный способ.

Это вам не блокеры, которые под конец щёлкал как орехи любой юнец.

Но что же мы можем сделать с шифровальщиками? Спросите вы.

1 Профилактика:

- Не открывайе письма от неизвестных авторов.
- Не открывайте писем от знакомых и друзей с вложениями, если вы этих писем не ждёте.

Резюмируя: НЕ ОТКРЫВАЙТЕ ПИСЕМ, КОТОРЫХ ВЫ НЕ ОЖИДАЕТЕ. Если приятель прислал вам письмо, но в анонсе к нему он не называет вас по имени... позвоните ему и узнайте, посылал он вам что-нибудь или нет.

Типичное такое послание: "Привет, посмотри что я нашёл! (далее ссылка или просто вложенная картинка)" У организаций легче сробатывает что-то типа: "Пожарная инспекция: Срочно оплатите штраф! "

Или что-то подобное. Так, кстати, было в моём случае.

2. Если вы всё же открыли и увидели угрожающую надпись: ... ваши файлы/документы зашифрованы... Сразу, нет С Р А З У!!!!! обесточьте компюьтер! Подчёркиваю не выключите штатно (типа Пуск - Завершение работы - Выключение) и даже не долго удерживайте кнопку включения на корпусе (Задача шифрования, может иметь (и обычно имеет) высокий приоритет и может приостановить выключение до завершения задачи). То есть отрубить пилот, Отключить на спине системника блок питания, выдернуть вилку из розетки, отщёлкнуть аккумулятор на ноутбуке.

Потому что всё это время ваши документы будут шифроваться. Чем больше у вас их на компе (а шифруются в основном документы Word, Excell, pdf, jpeg, то есть документы и изображения/фотографии) и чем слабее ваш процессор, тем больше на это потребуется времени.

Если у вас супер-пупер мощная игровая система, то на это может уйти всего пара минут или меньше. Но если повезёт, это может растянуться минут на 20 - 30. И вот тут, чем быстрее вы отключите питание, тем большую долю документов вы успеете сохранить. Если комп простоял с заставкой о шифровании больше часа, можно уже не суетиться, всё самое плохое уже случилось.

Именно по этому в тексте с угрозами вас будут предупреждать ни в коем случае не выключать ваш комп. В моём случае, они позвонили, когда прошло больше 3 часов и время было упущено.

Если вы попались в этот капкан особенно тщательно следует выбирать того, к кому вы обратитесь за лечением. Если это окажется дилетатнт и включит его как обычно "посмотреть" что там за угроза, он сведёт ваши усилия на нет, при штатном включении задание продолжиться и зашифрует то, что ещё не зашифровано. Загружать такую машину (в первую очередь для изоляции троянца) следует со специального Live-CD диска. И желательно его (троянца) не удалять, а запаковать для передачи в лабораторию. Если даже вам не смогут расшифровать ваши файлы, то по крайней мере вы поработаете на будущее, возможно вы поможете изучить новый тип зловреда.

Я, приехав, я удалил троянца и его корни (тут ничего нового, чего бы не было описано в моём сообщении Тут), убедился что, больше здесь я ничего с делать не смогу, но, как честный человек, около часа искал в интернете хоть какие-то варианты по vault. И нашёл любопытную вещицу.

ShadowExplorer оф сайт для загрузки - ShadowExplorer

Если в операционной системе (Windows Vista и новее) на разделе с зашифрованными файлами до заражения было включено Восстановление системы (желательно в режиме - Восстановление параметров системы и предыдущие версии файлов), то время от времени ось делает резервные копии файлов этого раздела.

Настроить это можно, например в Семёрке, здесь: Мой комп правой кнопкой мыши - Свойства - В левой половине Защита системы - Вкладка Защита системы - выбрать раздел (диск С или D) - Настройка - поставить точку в верхнем пункте - Восстановление параметров системы и предыдущие версии файлов.

Так вот, откатив систему (она же у нас рабочая, загружается и работает вполне штатно) на контрольную точку сохранения ДО заражения, есть шанс, что восстановятся и файлы на этом разделе. Но откат системы дело долгое и хлопотное. Тут нам и пригодится ShadowExplorer.

Скачиваете его с официального сайта и запускаете на вылеченной машине. В левом верхнем углу (как на втором снимке см выше) выбираем раздел. В данном случае - С. В окошке правее появляется список контрольных дат, на которые имеется контрольная точка сохранения. Если в этом окне пусто, значит Восстановление системы было отключено и ловить тут больше нечего.

Изображение

Мне повезло, точки были. Я выбрал ту, что поближе к заражению, но ДО него. И вот мне предлагается Проводник с деревом папок и фйалов на диске С на тот момент. Теперь топаем правой пяткой мыши на нужной нам папке (даже многуровневой) или на файле и выбираем - Экспортировать, указываем новую папку и складываем туда "восстановленные" варианты файлов.

Изображение

Так я поднял заказчикам документы с Рабочего стола (пусть даже и недельной давности, они были довольны).

Дальше мне не повезло дважды.

1. На разделе D Восстановление было отключено. Так в принципе поступаю и я в целях экономии места на разделе. Поступал раньше. В дальнейшем я буду думать всегда ли это ст0ит делать. :)
2. Папка Мои документы, штатно размещённая на разделе С, местным "администратором" так же была перенесена на раздел D. Со всеми вытекающими от сюда последствиями.

То есть да, это был бы умный ход в других случаях, например при крахе системы и её переустановке Мои документы как раз бы не потерялись при форматировании раздела С, но вот при шифровании увы... Кстати у клиентов зашифровались даже данные на личной флешке, которая была воткнута. Хорошо ещё, что второй комп в бухгалтерии не был соединён с больным по локальной сети.

Вот такой вот опыт, которым я хотел с вами поделиться. Возможно это кому-то пригодится. Я не претендую на то, что мой случай - панацея и выручит при любом подобном троянце. Я даже не могу утверждать, что любой vault можно будет обойти так. Но...

Грустно ведь что, если (когда) об этом узнают авторы, боюсь они в свой троян включат ещё и команду отключения восстановления на разделах. При этом все контрольные точки сохранения стираются и восстановление становится почти невозможным.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 51
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1821
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 5 лет 6 месяцев

 

#9 stalker78yd » 09.07.2016, 07:33

viprus писал(а):Грустно ведь что, если (когда) об этом узнают авторы, боюсь они в свой троян включат ещё и команду отключения восстановления на разделах. При этом все контрольные точки сохранения стираются и восстановление становится почти невозможным.
Поэтому раз в неделю, внешник к пк и резервную копию ( касается организаций, обычному юзверю хватит и облака )
Спс за инфу :old_hi:
stalker78yd M
Эксперт
Эксперт
Аватара
Возраст: 38
Откуда: 4ый энергоблок
Репутация: 1069
Лояльность: 194 (+197/−3)
Сообщения: 10006
Темы: 7
Зарегистрирован: 14.07.2014
С нами: 2 года 4 месяца

#10 viprus » 09.07.2016, 23:40

:ok: Гут!
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 51
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1821
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 5 лет 6 месяцев

#11 docker » 15.07.2016, 10:43

viprus
Очень хорошая инфа! :good3:
docker M
Поддержка
Поддержка
Аватара
Репутация: 125
Лояльность: 0 (+0/−0)
Сообщения: 2004
Зарегистрирован: 25.09.2014
С нами: 2 года 2 месяца

#12 viprus » 16.07.2016, 23:58

:smile:
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 51
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1821
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 5 лет 6 месяцев


  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Кто сейчас на форуме (по активности за 20 минут)

Сейчас этот раздел просматривают: 3 гостя