Jump to content
СофтФорум - всё о компьютерах и не только

Поймал шифровальщик. Что посоветуете?


Recommended Posts

Приветствую всех!

Вот и у меня наконец появились серьезные проблемы :verysad:

Раньше как-то проносило. Несерьезные вещи, типа блокираторов системы, достаточно просто удалял у себя и у знакомых.

Теперь проблема в следующем:

Моя жена открыла вложенный в письмо архивный файл и произошло заражение системы.

Информация о письме:
От
Mellissa Paris
Кому:
ххххххххх@rambler.
2 pages from +07766-38-80-61
1 файл, 17 КБ
No.: +07766-38-80-61
Date: 2015.01.18 10:48:50 CST
Pages: 2
ID: R888X_962CBD928
Filename: noticeably.zip

--
The Adpax Company
Mellissa Paris


Началось шифрование файлов Microsoft office, txt, rtf, pdf, jpg, dbf и др.
К зашифрованным файлам добавляется расширение .wwpqsee

Компьютер был выключен до окончания шифрования файлов, но повреждено очень много файлов. К сожалению, резервное копирование проводилось очень давно, а для жены комп является рабочей машиной, она бухгалтер.

Нашел среди фотографий несколько штук с таким названием: Decrypt All Files wwpqsee.bmp. Перегнал в jpeg и прикладываю к сообщению.

Написал в саппорт Eset, так как пользуюсь их антивирусом. Они письмо зарегистрировали, но пока больше ни каких известий.

 

Вопросы следующие:

- стоит ли ждать помощи от антивирусной компании или восстановить диск С из образа? На нем только система и общие программы, документы, бухгалтерские программы и др. находятся на других дисках;

- если загрузиться в безопасном режиме, не продолжится шифрование файлов, которые еще не успели заразиться? Прогонял системный диск и диск Д утилитами Dr.Web LiveDisk и Kaspersky Rescue Disk 10.0, ничего не нашел. (Все кэши перед этим почистил от мусора)

 

Спасибо заранее за помощь!

Decrypt All Files wwpqsee.jpeg

post-6143-0-18614600-1421904898_thumb.jp

Link to comment
Share on other sites

Здравствуйте!

 

Нужны логи по Правилам подраздела для выявления вредоноса.

Могу предположить, что это из серии Trojan-Ransom.Win32.Onion и расшифровке не поддается. Точнее об этом можно будет сказать когда выложите логи.

Link to comment
Share on other sites

@Sandor, для создания логов неоходимо войти в систему. Меня волнует вопрос, не продолжится ли шифрование файлов, которые еще не успели повредиться? Там еще много осталось целых файлов.

Edited by sar_64
Link to comment
Share on other sites

Извлеките HDD, подключите к другому компьютеру и сохраните нужные данные.

Плюс попробуй программу для восстановления удаленных данных с диска. Многие такие программы позволяют создать посекторный образ диска для проведения дальнейших процедур восстановления. Я пользую R-studio. Ну и образ самого раздела (акронисом и иже с ними) на всякий случай сохранить не мешает.

После этого (когда есть возможность откатиться к началу лечения, попробовать "восстановление системы", спокойно на другой машине поискать удаленные файлы) всё в руках @Sandor.

Link to comment
Share on other sites

@Loader, пробовал уже восстанавливать файлы программами EasyRecovery и R-studio, ни чего не получилось.

Восстановил системный диск из образа, кое-что из данных взял вернул из архива, который был на внешнем диске. Своего почти ни чего не потерял, а вот жене теперь придется много восстанавливать в 1С, я там давно последний раз архив делал.

Надеюсь, что поможет саппорт Eset, они просили выслать им образцы файлов.

Link to comment
Share on other sites

  • 2 weeks later...

Да, спасибо.

Eset работает, посылал им еще зараженные файлы.

Думаю, что вряд ли они смогут сделать дешифратор.

Жена восстанавливает свои данные. Увы, получается много лишней работы (((

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...