For-UA - Форум всея Великия и Малыя и Белыя России :: Хэлп ми, плз... • Политика и экономика

_vortex_

Цитата:

Трамвайный хам писал(а):

Читал ветку - не нашет такого простого совета.

Перезагружаете компьютер, во время перезагрузки жмакаете F8 и заходите в безопасный режим. И уже их него запускается восстановление системы. Не всегда, но это работает.

Потом.

Чтобы зашифровать файлы нужно время, была бы заметна работа вирусной программы-шифровальшика. Коль скоро этого не было, то скорее всего вирусом внесены какие-то изменения в системные файлы, что сама зараженная система их выдает за зашифрованные, сами же файлы при этом таковыми не являются.
В общем попробуйте сначала восстановление системы из безопасного режима, если не получится - будем посмотреть.

Вредоносная программа Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura и Trojan-Ransom.AndroidOS.Pletor используются злоумышленниками для зашифровки файлов таким образом, что их расширения меняются по следующим шаблонам:

<имя_файла>.<оригинальное_расширение>.<locked>
<имя_файла>.<оригинальное_расширение>.<kraken>
<имя_файла>.<оригинальное_расширение>.<darkness>
<имя_файла>.<оригинальное_расширение>.<oshit>
<имя_файла>.<оригинальное_расширение>.<nochance>
<имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
<имя_файла>.<оригинальное_расширение>.<relock@qq_com>
<имя_файла>.<оригинальное_расширение>.<crypto>
<имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
<имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
<имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
<имя_файла>.<оригинальное_расширение>_crypt
<имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
<имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
<имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
<имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
<имя_файла>.<оригинальное_расширение>.<encrypted>
<имя_файла>.<оригинальное_расширение>.<cry>
<имя_файла>.<оригинальное_расширение>.<AES256>
<имя_файла>.<оригинальное_расширение>.<enc>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>
<имя_файла>.<_crypt@india.com_.буквы>
<имя_файла>.<оригинальное_расширение>+<hb15>
Например:

было file.doc / стало file.doc.locked

было 1.doc / стало 1.dochb15

Для расшифровки файлов, зашифрованных программами Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Aura и Trojan-Ransom.AndroidOS.Pletor, специалисты Лаборатории Касперского разработали утилиту RakhniDecryptor.

Автор:	fil [ 28.11.15, 21:07 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
сталкивался и с "школьным" вариантом , на 15 мин работы и с серьезным ... если по взрослому (пройти по ссылке оплаты , цена в биткоинах около 800 евро - тогда формат ((( данные реально зашифрованы. более точно определиться можно по фотке экрана

Автор:	Солдат Джейн [ 28.11.15, 21:07 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
_vortex_ Цитата: Трамвайный хам писал(а): Читал ветку - не нашет такого простого совета. Перезагружаете компьютер, во время перезагрузки жмакаете F8 и заходите в безопасный режим. И уже их него запускается восстановление системы. Не всегда, но это работает. Потом. Чтобы зашифровать файлы нужно время, была бы заметна работа вирусной программы-шифровальшика. Коль скоро этого не было, то скорее всего вирусом внесены какие-то изменения в системные файлы, что сама зараженная система их выдает за зашифрованные, сами же файлы при этом таковыми не являются. В общем попробуйте сначала восстановление системы из безопасного режима, если не получится - будем посмотреть. Вредоносная программа Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura и Trojan-Ransom.AndroidOS.Pletor используются злоумышленниками для зашифровки файлов таким образом, что их расширения меняются по следующим шаблонам: <имя_файла>.<оригинальное_расширение>.<locked> <имя_файла>.<оригинальное_расширение>.<kraken> <имя_файла>.<оригинальное_расширение>.<darkness> <имя_файла>.<оригинальное_расширение>.<oshit> <имя_файла>.<оригинальное_расширение>.<nochance> <имя_файла>.<оригинальное_расширение>.<oplata@qq_com> <имя_файла>.<оригинальное_расширение>.<relock@qq_com> <имя_файла>.<оригинальное_расширение>.<crypto> <имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net> <имя_файла>.<оригинальное_расширение>.<pizda@qq_com> <имя_файла>.<оригинальное_расширение>.<dyatel@qq_com> <имя_файла>.<оригинальное_расширение>_crypt <имя_файла>.<оригинальное_расширение>.<nalog@qq_com> <имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com> <имя_файла>.<оригинальное_расширение>.<gruzin@qq_com> <имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com> <имя_файла>.<оригинальное_расширение>.<encrypted> <имя_файла>.<оригинальное_расширение>.<cry> <имя_файла>.<оригинальное_расширение>.<AES256> <имя_файла>.<оригинальное_расширение>.<enc> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360> <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20> <имя_файла>.<_crypt@india.com_.буквы> <имя_файла>.<оригинальное_расширение>+<hb15> Например: было file.doc / стало file.doc.locked было 1.doc / стало 1.dochb15 Для расшифровки файлов, зашифрованных программами Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Aura и Trojan-Ransom.AndroidOS.Pletor, специалисты Лаборатории Касперского разработали утилиту RakhniDecryptor. Там не так. Там новое название файла занимает всю ширину экрана. При нажатии выдает окно, которым обычно открываются интернет файлы (предлагается выбрать программу открытия).

Автор:	Кутеген [ 28.11.15, 21:09 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Солдат Джейн писал(а): Трамвайный хам писал(а): Читал ветку - не нашет такого простого совета. Перезагружаете компьютер, во время перезагрузки жмакаете F8 и заходите в безопасный режим. И уже их него запускается восстановление системы. Не всегда, но это работает. Потом. Чтобы зашифровать файлы нужно время, была бы заметна работа вирусной программы-шифровальшика. Коль скоро этого не было, то скорее всего вирусом внесены какие-то изменения в системные файлы, что сама зараженная система файлы юзерские выдает за зашифрованные, сами же файлы при этом таковыми не являются. В общем попробуйте сначала восстановление системы из безопасного режима, если не получится - будем посмотреть. F8 не срабатывает. То есть, при перезагрузке при ее нажатии ничего не происходит. попробуйте F2

Автор:	IraAltay [ 28.11.15, 21:11 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Солдат Джейн писал(а): Я щаззз вообще рыдать начну... Нет у меня этого человека, который всегда моими компами занимался. В отпуск уехал. Доктор Вебер не помог. Комп бекапить после Вебера не хочет. У меня недавно была похожая ситуация. Свой комп почистила с помощью лечащей утилиты скачала с сайта Доктор веб. https://download.drweb.ru/?lng=ru Все шифрованные файлы удалила не стала заморачиваться с восстановлением. Но, все равно при включении компа появляется, правда уже без текста, бывшая картинка-блокнот.

Автор:	Солдат Джейн [ 28.11.15, 21:15 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
IraAltay писал(а): Солдат Джейн писал(а): Я щаззз вообще рыдать начну... Нет у меня этого человека, который всегда моими компами занимался. В отпуск уехал. Доктор Вебер не помог. Комп бекапить после Вебера не хочет. У меня недавно была похожая ситуация. Свой комп почистила с помощью лечащей утилиты скачала с сайта Доктор веб. https://download.drweb.ru/?lng=ru Все шифрованные файлы удалила не стала заморачиваться с восстановлением. Но, все равно при включении компа появляется, правда уже без текста, бывшая картинка-блокнот. Я его тоже оттуда качала. Без результата.

For-UA - Форум всея Великия и Малыя и Белыя России https://for-ua.info/

Хэлп ми, плз... https://for-ua.info/viewtopic.php?f=2&t=33143	Страница 3 из 13

Автор:	VSU [ 28.11.15, 21:22 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Джейн, пригласите, наймите, позовите (и т.д. и т.п) специалиста. Иначе - проблему не решите, а с помощью советов с форума - только усугубите.

Автор:	Bertals [ 28.11.15, 21:24 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
VSU писал(а): Джейн, пригласите, наймите, позовите (и т.д. и т.п) специалиста. Иначе - проблему не решите, а с помощью советов с форума - только усугубите. Может уже поздно...

Автор:	illusionistus [ 28.11.15, 21:25 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
На rutor.org есть сборки для загрузочных дисков/флешек может ей попробовать пролечиться В поиске на трекере "Stop SMS Uni Boot"

Автор:	Медвежуть [ 28.11.15, 21:28 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Bertals писал(а): VSU писал(а): Джейн, пригласите, наймите, позовите (и т.д. и т.п) специалиста. Иначе - проблему не решите, а с помощью советов с форума - только усугубите. Может уже поздно... Дешевле набрать format c:

Автор:	Джина [ 28.11.15, 21:34 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Медвежуть писал(а): Bertals писал(а): VSU писал(а): Джейн, пригласите, наймите, позовите (и т.д. и т.п) специалиста. Иначе - проблему не решите, а с помощью советов с форума - только усугубите. Может уже поздно... Дешевле набрать format c: Мне такое как-то Карпентер присоветовал. Хорошо что я трусиха и сама никогда ничего делать не буду. - Отформатируй, - говорит, - диск С. (((

Автор:	Bertals [ 28.11.15, 21:34 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Медвежуть писал(а): Bertals писал(а): VSU писал(а): Джейн, пригласите, наймите, позовите (и т.д. и т.п) специалиста. Иначе - проблему не решите, а с помощью советов с форума - только усугубите. Может уже поздно... Дешевле набрать format c: Когда нечто подобное было у знакомых, не читались файлы документов и таблиц. PDF читались. Т.е. может что-то можно спасти. Но тока шобы после переустановки Винды не заразиться по новой.

Автор:	Люнет [ 28.11.15, 21:35 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Солдат Джейн писал(а): Начало здесь: Хелп ми, плз Кажется, мой комп хакнули. И ШО мне делать? просмотреть это видео прочитать комментарии, в них есть адрес утилиты действовать по инструкции Смотреть на youtube.com

Автор:	Трамвайный хам [ 28.11.15, 21:40 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Солдат Джейн писал(а): F8 не срабатывает. То есть, при перезагрузке при ее нажатии ничего не происходит. А вы входили до этого в безопасный режим? То есть навык этот имеется?

Автор:	Трамвайный хам [ 28.11.15, 21:41 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Джина писал(а): Жамкать Ф8 можно, когда семерка, а не ХП. Это на ЛЮБОЙ версии Виндовз начиная с 95.

Автор:	SicTransit [ 28.11.15, 22:19 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Солдат Джейн писал(а): Я щаззз вообще рыдать начну... Нет у меня этого человека, который всегда моими компами занимался. В отпуск уехал. Доктор Вебер не помог. Комп бекапить после Вебера не хочет. Никто тебе не поможет. Ибо... В общем, юзверь классический, непуганный. Ты словил по почте обычный шифровальщик. Алгоритм этой гадости прост до безобразия - тебе приходит "важное сообщение" (с заголовком вида "ваши акты сверок бла бла бла"). Ты его добросовестно пытаешься "прочитать", запуская тем самым этот самый шифровальщик - по сути сам себе шифруешь свои файлы. Ключ шифрования эта гадость пытается выпихнуть в инет на адрес "разработчика" этого ПО. Чаще всего неудачно и ключ пропадает безвозвратно, ибо за собой эта гадость у тебя на компе чистит прекрасно. Поэтому обещания "расшифровать за денежку малую" обычно оказываются пустышкой. Как показывает практика, 100% гарантию дает только ежедневный бэкап. А отсюда... В общем, никогда не открывай непонятных тебе вложений в письмах от неизвестных адресатов. ЗЫ. Любые антивири, конечно, словят эту malware и даже ее грохнут, но уже поздно, дешифровать без ключа в теории можно, но на практике очень долго и дорого...

Автор:	Babun [ 28.11.15, 22:26 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Месяц назад знакомый словил что-то подобное. Шифровались все тестовые файлы, файлы офиса и базы данных. ВОССТАНОВИТЬ данные помог Shadowexplorer

Автор:	Babun [ 28.11.15, 22:33 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Загрузка в безопасном режиме и антивирусы вряд ли помогут. В антивирусных лабораториях берутся за расшифровку, но без гарантии результата. Для этого им нужно послать несколько зашифрованных файлов. В любом случае торопиться с форматированием диска не стоит.

Автор:	Трамвайный хам [ 28.11.15, 22:50 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Солдат Джейн писал(а): Нет... Это очень просто. Перезагружаете компьютер. Любым способом. Хоть через меню"Пуск" (как обычно), хоть через ресет, хоть просто отключением и включением питания - абсолютно без разницы. И как он только станет перезагружаться не переставая нажимаете на F8. Именно нажимайте, пару раз в секунду, а не просто нажать и не отпускать. Через где-то с полминуты на черном экране должен появится текст с выбором режима загрузки. С помощью клавиатуры нужно выбрать "Безопасный режим". После того, как загрузится безопасный режим сразу выскочит меню, что вы хотите: работать в безопасном режиме или восстановить систему. Выберете восстановление системы. Дальше все понятно, выберете дату, когда компьютер работал нормально и нажимайте "восстановить". Процесс займет времени полчаса-час, в зависимости от количества установленных программ и объема жесткого диска. Так вы удалите сам вирус, но, возможно, не результаты его издевательства над файлами. Сделайте сначала это, а потом посмотрим, вполне возможно, что с файлами все будет нормально.

Автор:	Солдат Джейн [ 28.11.15, 22:03 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
Трамвайный хам писал(а): Солдат Джейн писал(а): F8 не срабатывает. То есть, при перезагрузке при ее нажатии ничего не происходит. А вы входили до этого в безопасный режим? То есть навык этот имеется? Нет...

Автор:	Трамвайный хам [ 28.11.15, 23:05 ]
Заголовок сообщения:	Re: Хэлп ми, плз...
SicTransit писал(а): Ты словил по почте обычный шифровальщик. Ты мне одну такую вещь скажи. Процесс шифрования, даже самый простой, достаточно долгий. Если это не RSA, то расшифровать смогут нехитрые программы. Особенно если есть оригинал. А если RSA, то процесс шифрования вообще-то довольно длительный. ТС наверное по ходу дела заметил бы что что-то такое нехорошее происходит. Я не думаю, что файлы зашифрованы. Скорее всего испорченная система их выдает за зашифрованные. Можно попытаться каким-либо образом скопировать файлы на другой компьютер, изменить расширение и попробовать открыть. Даже для начала не переносить их на другую машину, а просто изменить расширение и отрыть. Но тогда сначала нужно удалить вирус, потому как сама функция расширения может быть заблокирована работой вируса.

Страница 3 из 13	Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/