Старый 14.03.2015, 00:09   #1   
Форумец
 
Сообщений: 27
Регистрация: 25.12.2011
Возраст: 39

truck43 вне форума Не в сети
Зашифровались файлы в .xtbl. Что делать?

Зашифровались файлы в .xtbl, в основном фотографии. Пока еще не все. Видимо, словил троян-шифровальщик. Что следует делать, и возможно ли восстановить файлы?
  Ответить с цитированием
Старый 14.03.2015, 01:55   #2   
highly mean
 
Сообщений: 1,128
Регистрация: 26.05.2011
Возраст: 35

silly вне форума Не в сети
Цитата:
Сообщение от truck43 Посмотреть сообщение
Что следует делать?
Выключить компьютер

1. Загрузиться с чего-нибудь внешнего (livecd от drweb'а или что-там сейчас модно) и скопировать все интересные файлы, например, на внешний жесткий диск.
2. Потом переставить все нахер*.
3. Скопировать файло обратно.

*автор данного совета не несет ответственности за 100% невозможность восстановления зашифрованных фоток после переустановки системы (теряются копии вируса и потенциально участвующие в шифровании данные); так вам и надо, если честно
  Ответить с цитированием
Старый 14.03.2015, 08:44   #3   
Форумец
 
Аватар для BukaRoman
 
Сообщений: 1,600
Регистрация: 26.01.2009

BukaRoman вне форума Не в сети
Добавлю к тому, что написал silly...
1. Все так...
2. Не спешите сносить. Если у Вас лицензия на антивирус имеется, пишите на саппорт проблему, иногда они даже помогают и даже были случаи, что они присылали код расшифровки...
3. Если инфа пиндец как нужна и сумма которую запросили злоумышленники не очень фантастична, можно заплатить(это не призыв к действию!!!!). Иногда они бывают честны и присылают код.
4. Если дофига свободного времени, несите комп в отдел с киберпреступностью, пусть отрабатывают наши налоги.... (пока это ИМХО пустая трата времени - но вдруг!!!!!!)
5. Все переставить - да. Но потом проверяйте все антивирем при копировании, есть вероятность, что Вы этот шифровальщик опять занесете... Но это врят ли.... Он очень хорошо после себя все чистит и не оставляет следов...
6. Непонятную и неизвестную Вам почту больше не открывайте и тем более не запускайте неизвестные файлы .exe которые прислал Вам кер пойми кто...
  Ответить с цитированием
Старый 25.03.2015, 09:26   #4   
Форумец
 
Аватар для mishel13
 
Сообщений: 4,904
Регистрация: 19.04.2008
Возраст: 49

mishel13 вне форума Не в сети
Цитата:
Сообщение от BukaRoman Посмотреть сообщение
Если у Вас лицензия на антивирус имеется, пишите на саппорт проблему, иногда они даже помогают и даже были случаи, что они присылали код расшифровки..
если каспер или доктор вэб.они просят один файл зашифрованный,и второй такой же без шифра(при наличии такого файла)
ида,перед этим не рекомендуют лечить комп с удалением зловреда


твоя тема

Последний раз редактировалось mishel13; 25.03.2015 в 09:44.
  Ответить с цитированием
Старый 01.04.2015, 08:31   #5   
Registered User
 
Аватар для Dimon86
 
Сообщений: 412
Регистрация: 26.03.2007

Dimon86 вне форума Не в сети
И у меня такая же проблема... неужели нет до сих пор никакого решения?
вчера зашифровались всё файлы в непонятный формат... кстати на вымогательство денег нет не единого намека! даже некому денег отправить
  Ответить с цитированием
Старый 01.04.2015, 09:27   #6   
Форумец
 
Аватар для Erema
 
Сообщений: 1,459
Регистрация: 17.11.2005
Возраст: 44
Записей в дневнике: 9

Erema вне форума Не в сети
Dimon86, принесите мне, посмотрю что там можно сделать.

Был случай файлы на 80% нашлись. Вирус напортачил, а пошифровать не успел.

Если понадобится восстановить данные с жестких дисков, флешек, карт памяти, видео регистраторов, телефонов и т.п., то обращайтесь ко мне. Я непосредственно в Воронеже. Делаю сам лично. Никуда не передаю задачи.

Последний раз редактировалось DrIQ; 01.04.2015 в 15:49.
  Ответить с цитированием
Старый 01.04.2015, 16:52   #7   
Форумец
 
Аватар для mishel13
 
Сообщений: 4,904
Регистрация: 19.04.2008
Возраст: 49

mishel13 вне форума Не в сети
Цитата:
Сообщение от Dimon86 Посмотреть сообщение
кстати на вымогательство денег нет не единого намека!
кто то говорил что документ .txt появляется на рабочем столе с данными для перевода денег.

Цитата:
Сообщение от Dimon86 Посмотреть сообщение
всё файлы в непонятный формат..
у него название есть у непонятного формата?может у тебя просто ассоциация файлов нарушена?
  Ответить с цитированием
Старый 01.04.2015, 23:16   #8   
Форумец
 
Аватар для Alt
 
Сообщений: 1,675
Регистрация: 11.07.2004

Alt вне форума Не в сети
Никто не поможет из монстров, даже с лицензированым AV, т.к. шифровальщик самоуничтожается
Цитата:
Сообщение от Erema Посмотреть сообщение
Был случай файлы на 80% нашлись.
Как вариант, если фотки переписывались или дефрагментировалось всё...
  Ответить с цитированием
Старый 02.04.2015, 06:23   #9   
Форумец
 
Аватар для Erema
 
Сообщений: 1,459
Регистрация: 17.11.2005
Возраст: 44
Записей в дневнике: 9

Erema вне форума Не в сети
Цитата:
Сообщение от Alt Посмотреть сообщение
Никто не поможет из монстров, даже с лицензированым AV, т.к. шифровальщик самоуничтожается

Как вариант, если фотки переписывались или дефрагментировалось всё...
Да ну, шифровальщик на месте. Точнее он и так известен.
Дело в том что ключ только у мошенника есть.

Дело не в дефрагментации, дело в том что шифровальщик не в состоянии перелопатить большой обьем данных. Т.о. они некоторое время еще не пошифрованы, но подготовлены под это. Получается вернуть их можно. Алгоритм этого в миллионы раз проще.
  Ответить с цитированием
Старый 03.04.2015, 18:43   #10   
.
 
Аватар для YUreal
 
Сообщений: 3,320
Регистрация: 17.11.2010
Возраст: 48

YUreal вне форума Не в сети
Годная тема, без неё бы не узнал (пока бы не словил) что есть такая зараза. Испугался не на шутку, скопировал всё нажитое на внешний диск.
  Ответить с цитированием
Старый 14.04.2015, 14:35   #11   
Форумец
 
Аватар для defender_it
 
Сообщений: 1,202
Регистрация: 26.03.2008

defender_it вне форума Не в сети
Была такая фигня. Клушка-секретарь запустила скрипт из письма. Вовремя я остановил этот скрипт, похерено пару папок и в каждой зашифрованной папке был текст:

!!!Восстановить файлы_(ТУТ ИМЯ ПОЛЬЗОВАТЕЛЯ).TxT

Половинка кода который надо отправить, без него они не расшифрую файлы:

-----BEGIN PGP MESSAGE-----
Version: 2.6.3i

hIwDCnLQbu0U2ZUBBACNzOCeqFF9iFpg28SwfGDY2QZa3j/1j7AKxblT9GVuqc/Z
fqiO7z3yVi80bklro+QtEWCmAscSQNmYOibsAIz8cnvs/B6G+kUynTPuYnihtxDi
DjXuTbxuIGHQgrWLZHono8s10uas8xUn9HcK9Z6qMPXp9cpJTO n01Cn1F9g9V6YA
AABLhA5sBSDmgGZ1ZH5fH99ywF3A1IyYtWPN5SbtEDEglGXKPW J6O38BcOI46Ew4
eG05im4heZZVWIcJly7cLjq4WXO8POYCTgRMzd+u
=mr7S
-----END PGP MESSAGE-----

Файлы упакованы в архивы и на архивы установлен пароль
Стоимость пароля на архивы 1O.OOO RUB
Чтобы вернуть файлы напишите письмо на e-mail: [email protected]
В письмо приложите файл который Вы сейчас читаете (восстановить файлы.TxT)
и один запакованный файл небольшого размера.
В ответ придет исходный файл и инcтpукция для оплaты
После oплаты придет пaроль на архивы и прогрaмма которая автоматически вернет файлы в исходное состояние
Распакованный файл является доказательством того, что можно вернуть все данные
Ответ придет в течение 24 часов
Если ответ не приходит более 24 часов - отпишите на почту [email protected]
ВНИМАНИЕ! Не забудьте прислать файл (восстановить файлы.TxT) и 1 запакованный файл

P.S Антивирус Касперский молчал =(
  Ответить с цитированием
Старый 14.04.2015, 22:50   #12   
Форумец
 
Аватар для mishel13
 
Сообщений: 4,904
Регистрация: 19.04.2008
Возраст: 49

mishel13 вне форума Не в сети
Цитата:
Сообщение от defender_it Посмотреть сообщение
Файлы упакованы в архивы и на архивы установлен пароль
это зловред так делает,пакует в архивы и ставит пасс?

Цитата:
Сообщение от defender_it Посмотреть сообщение
P.S Антивирус Касперский молчал =(
а что он должен был делать?откуда ему знать что упаковка файлов в архив это чей то злой умысел?
  Ответить с цитированием
Старый 14.04.2015, 23:08   #13   
Форумец
 
Аватар для Xenon
 
Сообщений: 64,881
Регистрация: 02.10.2007
Возраст: 34
Записей в дневнике: 228

Xenon вне форума Не в сети
Цитата:
Сообщение от mishel13 Посмотреть сообщение
а что он должен был делать?откуда ему знать что упаковка файлов в архив это чей то злой умысел?
http://forum.kaspersky.com/index.php?showtopic=318637
  Ответить с цитированием
Старый 15.04.2015, 00:00   #14   
Форумец
 
Аватар для Erema
 
Сообщений: 1,459
Регистрация: 17.11.2005
Возраст: 44
Записей в дневнике: 9

Erema вне форума Не в сети
Я выход вижу только один:
- организовываем ФТП сервер для хранения копии важных данных;
- ежедневно по расписанию проверяем заданные каталоги на присутствие зашифрованных файлов по расширению или особых каталогов или файлов в каталогах;
- если таковых не обнаружено синхронизируем каталоги с важными данными с хранилищем.

В случае заражения теряем наработки за день. Печально.
  Ответить с цитированием
Старый 15.04.2015, 13:12   #15   
Форумец
 
Аватар для mishel13
 
Сообщений: 4,904
Регистрация: 19.04.2008
Возраст: 49

mishel13 вне форума Не в сети
Цитата:
Сообщение от Xenon Посмотреть сообщение
http://forum.kaspersky.com/index.php?showtopic=318637
печально всё...,укроп работает? •[email protected]
• …[email protected]
  Ответить с цитированием
Поиск в теме: 


Опции темы

Быстрый переход:

  Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Support by DrIQ & Netwind