» » Вирус зашифровал все важные файлы

Вирус зашифровал все важные файлы

Сообщение от вируса: Все ваши файлы зашифрованы! [Архив]


Просмотр полной версии : Сообщение от вируса: Все ваши файлы зашифрованы!


Помогите мне пожплуйста: я поставил качаться фотошоп по ссылке с файлообменника, качалось оч долго поэтому пошол гулять. Прихожу фотошоп скачался( может дело и не в нём, я так подумал потому что он в раре), и вижу открыт текстовой документ:"Прочти Меня - как расшифровать файлы" в нём сказано:


Внимание!


Все ваши файлы зашифрованы!


Работоспособность фалов можно вернуть обратившись по ICQ 567979714

Переустановка системы не поможет, можете попробовать :)

P.S. ICQ 567979714.

А ещё виндовоз арёт:
"Файлы, нужные для правильной работы Windows, были
заменены неизвестными версиями. Для обеспечения
стабильной работы системы Windows необходимо
восстановить оригинальные версии этих Файлов.
Теперь вставьте Windows ХР Professional CD-RDM."

Люди дак чо делать? Переставить винду или лезть в асю (у меня аси нет).



если вирус зашифровал только системные файлы - тебе повезло.
Сливай куда-нибудь данные (документы) и переустанавливай систему

На сегодняшний день можно констатировать факт - мошенники изобрели совершенно новый способ выуживать деньги из доверчивых пользователей. Заключается он в том, что на ящик электронной почты приходит письмо якобы от Сбербанка, Арбитражного суда и так далее с вложенным файлом, который маскируется под важный документ и, конечно же, содержит вредоносную программу. После запуска файла пользователем вирус шифрует на компьютере все файлы популярных форматов (jpg, doc, txt, pdf, базы данных 1С бухгалтерии и так далее) при этом добавляя к расширению строку "crypted" или подобную. Кроме того зачастую меняется фон рабочего стола и во всех директориях с зашифрованными файлами создается текстовый документ (например с именем "ПРОЧТИ ЭТО"), в котором злоумышленники требуют выслать им определенную и зачастую весьма немалую сумму за программу для дешифровки данных и предлагают прислать один из файлов для того, чтобы удостовериться в том, что они действительно могут сделать это.

Вирус представляет собой один из новейших вариантов Trojan.Encoder.102 и на сегодняшний день, к сожалению, способов расшифровать файлы не существует. Так как шифруется он с помощью криптографического алгоритма RSA, для которого эффективных алгоритмов факторизации современная наука еще не нашла и ключ расшифровки можно получить только у недобросовестных создателей данного зловреда.

README1.txt по README10.txt

Вариант №1:

Вирус-шифровальщик xtbl обнаружен:

В ОС Windows 7 64 bit sp1

Установленный антивирус:

Защитник Windows (windows defender)

Действия которые привели к заражению вирусом-шифровальщиком:

Скачивание из интернета программы iTunes

При проверки антивирусным сканером найдено около 10 различных троянов в папке "Загрузки" Google Chrome

Drweb определил вирус как Trojan.Encoder.858

Вариант №2:

  1. Если умеете работать в Диспетчере задач, то немедленно прервите шифрование файлов, остановив подозрительный процесс. Одновременно с этим, отключите компьютер от интернета – многим шифровальщикам необходимо подключение к сети.
  2. Возьмите листочек и запишите на него код, предлагаемый для отправки на почту злоумышленникам (листочек потому, что файл, в который будете записывать так же может стать недоступным для чтения).
  3. При помощи антивирусных средств Malwarebytes Antimalware, пробного Антивируса Kaspersky IS или CureIt, удалить вредоносную программу. Для большей надежности, лучше последовательно воспользоваться всеми предложенными средствами. Хотя Антивирус Касперского можно не устанавливать, если в системе уже есть один основной антивирус, иначе могут возникнуть программные конфликты. Все остальные утилиты можете применять в любой ситуации.
  4. Подождать, пока одна из антивирусных компаний не разработает рабочий дешифратор для таких файлов. Оперативнее всего справляется Kaspersky Lab.
  5. Дополнительно, вы можете отправить на [email protected] копию файла, что был зашифрованн, с требуемым кодом и если есть, этот же файл в первоначальном виде. Вполне возможно, это может ускорить разработку метода дешифровки файлов.

Ни в коем случае не выполняйте:

  • переименование этих документов;
  • изменение их расширения;
  • удаление файлов.

Чего делать не следует:

  • Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.

Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением .xtbl на данный момент времени.

Рис. 10. Поиск вируса шифровальщика Malwarebates

В некоторых случаях, они показываю хороший результат.

Разумеется, надо помнить, что «хорошие» вирусы не детектируются антивирусными программами, поэтому результата может не быть, а может и быть.

После проверке, перезагрузите компьютер.

 Как расшифровать файлы зашифрованные вирусом

Теперь самое интересное и не всегда результативное.

1. Утилиты Касперского

Перовое что нужно сделать — это воспользоваться утилитами по расшифровыванию файлов, зашифрованных вирусами, которые можно взять с сайта лаборатории Касперского. Перейдите на эту страницу


Оставьте расшифровку специалистам — профессионалам. Если вы считаете себя таковым, вы понимаете что такое RC4, AES, RSA, какое между ними различие, вы знаете что такое Hiew и что означает 0xDEADC0DE, можете попытаться. Всем остальным пользователям категорически не советуем.


Практика такова, что — то можно расшифровать почти сразу. Что — то будет ждать своей очереди, может месяцы, а может быть и годы. За некоторые случаи не берутся даже опытные спецы. К кому обращаться — решать конечно же вам. В конце публикации вы найдёте массу ссылок на ресурсы по этой теме.

4. Cделайте лог MBAM (Как пофиксить, сделать лог и выполнить скрипт.) и дайте ссылку на файл лога.

Пожалуйста если Вам помогла эта статья нажмите кнопку "рейтинг" в начале статьи.

Для продолжения проекта прошу написать в

сайта.

P.S.:

Информация от антивирусной лаборатории Drweb (информация получена 13.03.2015):

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим.

>Какие действия необходимо произвести чтобы данного заражения не происходило?

К сожалению, в мире не существует антивирусов, способных обеспечить 100% зашиту информации от воздействия вредоносных программ, и в частности "энкодеров".
Это если говорить об антивирусах.
Но задача обеспечения информационной безопасности не может быть решена одними только антивирусными средствами.
Как минимум, помимо всего прочего, должно быть организовано резервное копирование данных.
Бэкап, выполняемый в соответствии с хорошей практикой резервного копирования:
в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику.

Общая рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates

Ответ лаборатории Касперского:

ссылка на подробную инфу

Наверх