Author Topic: Вирус зашифровал большое количество данных в папках.  (Read 5809 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Здравствуйте.
У нас на установлена корпоративная версия антивируса Avast Endpoint Protection Suite Plus
Пользователь запустил вирус, в итоге многие файлы (эксель - xlsx, ворд - docx и др.) были зашифрованы и теперь имеют такие названия:
email-777aol777@india.com.ver-CL 1.0.0.0.id-ACEGIJLMNPQRTUVXYAACDEGHJKMNPQRSUVWX-14.10.2015 9@42@172598732.randomname-ACCCDEFGGHHIIJKLLLMNNOPPQQRRST.UUU

файлов большое количество. Посоветуйте, какие действия я могу предпринять для расшифровки данных файлов. Да, Ваш антивирус никак не среагировал на эту угрозу. А вирус преспокойно менял файлы в течении двух часов.

Заранее спасибо.

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3545
  • Дистрибьютор Avast и AVG
    • www.belrus.net
www.belrus.net - Avast Distributor & AVG Distributor in Russia

REDACTED

  • Guest
Пользователь запустил вирус... Посоветуйте, какие действия я могу предпринять для расшифровки данных файлов. Да, Ваш антивирус никак не среагировал на эту угрозу. А вирус преспокойно менял файлы в течении двух часов.
Пользователь - лох! Так ему и передайте. Нефиг открывать незнакомые файлы от незнакомых людей без предварительного сканирования их антивирусом (сохранить на диск, просканировать, а уж потом открывать - это в случае если от знакомого человека и по делу).
Большинство "юзер френдли" программ, кстати, об этом каждый раз настойчиво предупреждают пользователя (смотрим скрин предупреждения почтовой программы TheBat! ниже), но ни кто не читает что там написано...
Пущай теперь на "своём кошельке" учится компьютерной грамотности.
Никаких действий для РАСШИФРОВКИ файлов вы предпринять не можете. Платить вымогателям не имеет смысла - всё равно обманут, один файл расшифруют, а затем бабло "прикарманят", а шифровальщик не вышлют.
В общем, сносите систему и по новой ставьте её на свежеотформатированный какой-нибудь фирменной  HDD-утилитой в Low Level Format диск (чтобы вообще ни чего на нём не осталось).
Антивирус не НАШ - это не форум разработчика, а форум пользователей, где нет оф. представителей антивирусной лаборатории avast!
« Last Edit: October 15, 2015, 02:19:47 AM by Goga 525iA »

Offline Bolenic

  • Full Member
  • ***
  • Posts: 126
d_bodrov
Quote
... антивирус никак не среагировал на эту угрозу ...
Часто так и бывает, ведь
Quote
... Пользователь запустил вирус ...
Игнорирую сообщения, в которых после знаков препинания отсутствуют пробелы!


Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
В общем, сносите систему и по новой ставьте её на свежеотформатированный какой-нибудь фирменной  HDD-утилитой в Low Level Format диск (чтобы вообще ни чего на нём не осталось).
И то есть риск, что во время форматирования вирусы отсидятся на куллере блока питания, а после форматирования снова спрыгнут на винчестер =)

Offline vlad98

  • Advanced Poster
  • **
  • Posts: 838
В общем, сносите систему и по новой ставьте её на свежеотформатированный какой-нибудь фирменной  HDD-утилитой в Low Level Format диск (чтобы вообще ни чего на нём не осталось).
И то есть риск, что во время форматирования вирусы отсидятся на куллере блока питания, а после форматирования снова спрыгнут на винчестер =)
Неее, обычно они прилипают к внутренним стенкам винчестера, а после опять спрыгивают на винт. Это если не применять "фирменную  HDD-утилиту в Low Level Format" ;D

REDACTED

  • Guest
Рад что повеселил vlad98 и sergofun.
Но, тем не менее, если тупо всё не "снести", то вирусня может окопаться в MBR, к примеру, или удалённо скачивать и запускать свою рабочую часть с помощью руткита.
Я говорю не конкркетно про этот вирус, но лучше, от греха подальше, форматнуть всё начисто.

REDACTED

  • Guest
а на сайте касперского в разделе "утилиты для лечения" нет ничего подходящего?

например Утилиты для борьбы с Virus.Win32.Gpcode.ak "Утилита может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы и файлы других форматов."

Если получится то потом все файлы на флэшку, и как писали выше полностью весь диск стереть, желательно выбросить его что бы другие не заразились ;D))))

Еще вроде бы RannohDecryptor умеет такие файлы восстанавливать
« Last Edit: October 16, 2015, 08:52:22 AM by karaulov »

Offline vlad98

  • Advanced Poster
  • **
  • Posts: 838
а на сайте касперского в разделе "утилиты для лечения" нет ничего подходящего?

например Утилиты для борьбы с Virus.Win32.Gpcode.ak "Утилита может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы и файлы других форматов."

Если получится то потом все файлы на флэшку, и как писали выше полностью весь диск стереть, желательно выбросить его что бы другие не заразились ;D))))

Еще вроде бы RannohDecryptor умеет такие файлы восстанавливать
Все эти декрипторы от лукавого. Это не более, чем интерфейс для лобовой атаки на зашифрованный файл методом перебора. Если там злодеи пароль не установили типа 123456, то расшифровывать эти файлы еще и внукам топикстартера придётся.

REDACTED

  • Guest
Quote
Все эти декрипторы от лукавого. Это не более, чем интерфейс для лобовой атаки на зашифрованный файл методом перебора. Если там злодеи пароль не установили типа 123456, то расшифровывать эти файлы еще и внукам топикстартера придётся.
Да ладно? Взять тот же Xorist, который ломается за минут 10-15 при наличии самого шифровальщика. Расшифровка возможна только в том случае, если в шифровальщике есть слабые места, а лобовая атака простым перебором неэффективна. Эти самые слабые места и пытаются атаковать специалисты DrWeb и ЛК. К сожалению, техподдержка Аваста в этом плане бесполезна, т.к. у них просто нет специалистов по криптографии.

Quote
Еще вроде бы RannohDecryptor умеет такие файлы восстанавливать
Только самые первые версии этого шифровальщика. Эта версия от июля месяца.

Quote
Но, тем не менее, если тупо всё не "снести", то вирусня может окопаться в MBR, к примеру, или удалённо скачивать и запускать свою рабочую часть с помощью руткита.
:D

Давно такой бред не читал.
« Last Edit: October 20, 2015, 12:50:09 AM by mike 1 »