Страницы: 1 2 След.
RSS
зашифрованы с расширением *id70915, Filecoder.Q / Xorist
 
Добрый день
был рабочий комп, работал как рдп клиент. включал бухгалтер что бы поюзать 1с, и несколько пользователей которые от туда (с 1ски) что то хотели выудить
вчера был обнаружен вирус который зашифровал все типы файлов документов, видео, фото, и архивы.
кроме того все программы, стали ярлыками. в меню пуск одни ярлыки.
в этом вопросе нашел пару рекомендаций что нужно сделать с редегитом. не помогло.
для восстановления файлов воспользовался тремя патчами от касперского. два из них ничего не сделали. третий нашел файлы восстановил, но.... восстановленные файлы документов, видео, фото - не открываются. а архивы открываются некоторые (в основном которые содержали файлы программ -те же архивы драйверов), остальные тоже битые.
отправляю на проверку файл
----------------
*.id70915 может быть расшифрован
clipboard.png (142.73 КБ)
 
Валерий Мельничук,

если необходима помощь в очистке системы, добавьте образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/

по расшифровке:
необходима пара файлов для проверки: один зашифрованный файл, другой - чистый оригинал.
желательно небольшие по размеру, офисные документы или файлы изображений до 1Мб
 
вот, надеюсь правильно сделал
 
Валерий,
вы уже пробовали чем то расшифровать файлы?
у вас оба файла:
CDBE3D67-4A65-4869-96F8-159DE4FD16BC.JPG
и
CDBE3D67-4A65-4869-96F8-159DE4FD16BC.JPG.id70915
имеют одинаковые хэши, т.е. по сути это одинаковые файлы.

CRC32: 579B1997
MD5: B502B60E756A31FD18A8E1E407055540
SHA-1: D45B0ED88D422D4D7F0DAAE4AF91A7E4E98AE851

причем первый из них так же не открывается, т.е. в зашифрованном состоянии.
--------------
нужна пара: чистый и зашифрованный, и чтобы чистый файл, если это картинка, нормально открывался графической программой,
если это офисный документ: xls или doc, то нормально открывался в Офисе,
если pdf - то нормально открывался в acrobat reader или foxit

опишите, что у вас произошло яснее,
поищите таки чистые аналоги для зашифрованных документов.
--------------
это поясните: какие программы использовали для восстановления.

Цитата
для восстановления файлов воспользовался тремя патчами от касперского. два из них ничего не сделали. третий нашел файлы восстановил, но.... восстановленные файлы документов, видео, фото - не открываются. а архивы открываются некоторые (в основном которые содержали файлы программ -те же архивы драйверов), остальные тоже битые.
 
Santy, да пробовал. выше я описывал что произошло и что делал

"для восстановления файлов воспользовался тремя патчами от касперского. два из них ничего не сделали. третий нашел файлы восстановил, но.... восстановленные файлы документов, видео, фото - не открываются. а архивы открываются некоторые (в основном которые содержали файлы программ -те же архивы драйверов), "

где мне взять не битый файл? если закодировало все. в архиве что я залил в сообщении выше: один файл зашифрованный, один дешифрованный касперским (и тоже не открывается) и еще сделанный в скрин экрана и забитый в пейнт (то есть сделанный уже после того как вирус убит). но вопрос  начале абзаца - где взять другой небитый файл - я не знаю (
 
касперского патчи брал от сюда https://support.kaspersky.ru/viruses/disinfection/4264  
 
Цитата
Валерий Мельничук написал:
касперского патчи брал от сюда  https://support.kaspersky.ru/viruses/disinfection/4264

ну, во первых, это называется не патчи, а утилиты.
декодеры.
rector здесь не подойдет.

для проверки расшифровки необходима пара: чистый - зашифрованный файл.
поищите внимательно на диске, возможно есть чистые копии документов в архивах.

+ поищите среди зашифрованных файлов такие

Chrysanthemum.jpg
Desert.jpg
Koala.jpg
 
Цитата
Валерий Мельничук написал:
где мне взять не битый файл? если закодировало все. в архиве что я залил в сообщении выше: один файл зашифрованный, один дешифрованный касперским (и тоже не открывается) и еще сделанный в скрин экрана и забитый в пейнт (то есть сделанный уже после того как вирус убит). но вопрос  начале абзаца - где взять другой небитый файл - я не знаю (
1. архивные копии,
2. проверьте теневые копии, если чистема на клиенте выше чем XP
3. возможно есть зашифрованные файлы системы, можно найти чистые аналоги этих файлов в сети, или на других чистых машинах.
 
Валерий,
да, эти пары нормальные, по крайней мере чистые файлы открываются,
чуть позже напишу результат проверки
 
Валерий Мельничук,
расшифровка возможна, хотя видимо не для всех файлов.
напишите в почту safety@chklst.ru
------
+
добавьте образ автозапуска, можно из безопасного режима для проверки системы.
http://forum.esetnod32.ru/forum9/topic2687/
Страницы: 1 2 След.
Читают тему (гостей: 1)