Вирус изменил расширения всех файлов - IT Справочник
Llscompany.ru

IT Справочник
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус изменил расширения всех файлов

ESET CONNECT

Единая точка входа для ресурсов ESET

Войти через социальные сети

Вирус изменил названия файлов

не просто изменил название файлов, но и зашифровал их содержимое, при этом затерев оригиналы файлов.

по VAULT
1. вышлите в почту safety@chklst.ru письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту safety@chklst.ru

доки зашифрованы этим ключом

gpg: ключ EFE2B3A5: импортирован открытый ключ «Cellar»
gpg: Всего обработано: 1
gpg: импортировано: 1

— Public keyring updated. —

File: X:activeshifrbat.encoder.vault47Temppubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)

такой еще файл поищите, возможно среди удаленных

VAULT.KEY зашифрован этим ключом

gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:activeshifrbat.encoder.vault47TempVAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)

gpg: ключ EFE2B3A5: импортирован открытый ключ «Cellar»
gpg: Всего обработано: 1
gpg: импортировано: 1

— Public keyring updated. —

File: X:activeshifrbat.encoder.vault47Temppubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)

такой еще файл поищите, возможно среди удаленных

VAULT.KEY зашифрован этим ключом

gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:activeshifrbat.encoder.vault47TempVAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)

не просто удаляется, а затирается другим контентом, потом еще и удаляется.

Вирус изменил расширение файлов

Вирус изменил расширение файлов
Доброго времени суток. Получили файл счет-фактуру открыли. и все вордовские доки, стали с.

Вирус изменил расширение файлов
Доброго времени суток. Обнаружилось, что в одной из папок все файлы были заражены неизвестным.

Вирус изменил расширение файлов
Здравствуйте!Помогите пожалуйста с следующей проблемой: 06.03.2015 скачал программу шифрования и.

Вирус изменил расширение файлов на .tmp
Файлы (jpeg, rar, avi, pdf. ) многие стали с расширением tmp, появилось много файлов .dll на.

Вредоносные файлы на форум выкладывать запрещено. Для этого есть специальный сервис.

Внимание! Рекомендации написаны специально для пользователя ksjun. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

После перезагрузки, выполните такой скрипт:

Деинсталлируйте его и установите и соберите лог так:

Скачайте Malwarebytes’ Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы ( во время обновления откажитесь от загрузки и установки новой версии ), выберите «Perform Full Scan» («Полное сканирование«), нажмите «Scan» («Сканирование«), после сканирования — Ok — Show ResultsПоказать результаты«) — Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте.
Если лог не открылся, то найти его можно в следующей папке:

Вы карантин отправляли? Если по форме, продублируйте, пож., на почту.

К сожалению, шансов практически нет.

Добавлено через 21 минуту
У вас к тому же еще и сетевой червь kido.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

В обязательном порядке скачайте и установите все обновления безопасности windows + SP3.
Особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001

Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск — выполнить — cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista и Windows 7 запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all
Читать еще:  Лучший бесплатный антивирус для смартфона

Из всех дисков оставьте отмеченным только системный диск (обычно C:)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Если GMER не запустится:

Воспользуйтесь графической оболочкой для kidokiller — Quick Killer 3.0 Final — GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe

  1. Выбрать в списке кидокилер KidoKiller
  2. Установите галочку Записать в лог ‘report.txt’
  3. Установите галочку Удаление остатков служб оставшихся после вируса
  4. Перейдите на следующую страницу нажав кнопку >> и выберите Отключить автозапуск со всех носителей
  5. Не ждать нажатия любой клавиши.
  6. Нажмите кнопку Запустить KidoKiller

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Dr.Web forum

Вирус зашифровал файлы, поменял расширения

BoniX 14 Фев 2013

День добрый!
Сводка: win2k3 64 r2 ent.
Антивирус работал MSE.
Вирус зашифровал файлы, плюс переименовал — добавил расширение .BoX_34
в каждой папке лежит «КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt»:

Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .BoX_34
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его очень и очень сложно, практически невозможно.
Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.

Напишите нам письмо на адрес pandorium@tormail.org , чтобы узнать как получить дешифратор и пароль.

К письму прикрепите файл «КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt» или напишите номер — 034
В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.
Если мы Вам не ответили в течении 3 часов — повторите пересылку письма.

Прикрепляю логи, пару файлов.

В скором времени приложу логи drweb, rku не использовать на 64 системе написано в доках?

Очень надеюсь на помощь, Заранее спасибо.

Прикрепленные файлы:

  • hijackthis.log7,01К 3 Скачано раз
  • virusinfo_syscheck.zip76,94К 3 Скачано раз

Dr.Robot 14 Фев 2013

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Читать еще:  Вирус открывает рекламу

Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
— собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.

4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Решена вирус зашифровал doc, docx, xls, pdf, jpg, rar и сменил их разрешение на com_102

kaatmiin

Активный пользователь

Вложения

Ботан

Злостный спам-бот

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя — это может повредить вашей системе.

Вам необходим раздел который посвящен отправке файлов вирлабам для подбора лекарства (от себя посоветую обратиться именно в drweb, они оперативно работают). Отправьте им несколько зашифрованных файлов + ссылку на вредонос + что требовал вымогатель).
Смотреть логи нет смысла, acronis уже все сделал за нас. Что ответит вирлаб опубликуйте, пожалуйста.

kaatmiin

Активный пользователь

thyrex

kaatmiin

Активный пользователь

Файлы зашифровны одним из новых вариантов троянской программы Trojan.Encoder.102
К сожалению, на данный момент у нас нет способа их расшифровать.
Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки — эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление «К» МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: http://legal.drweb.com/templates
Возможно, в результате полицейской акции поймают автора/»хозяина» троянца и вытрясут из него шифроключ.

Cуществует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.102, без их расшифровки
(расшифровка без приватной половины ключевой пары невозможна).
Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102 вносит в файл относительно немного изменений.
И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.
При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls , в которых после реконструкции могут измениться данные на первых старницах.
Было написано 100 , а станет 500 — такое запросто может случиться.

В вашем случае нужна новейшая версия te102decrypt (не ниже версии 1.4.3.0)

Единственный осмысленный способ ее применения в вашем случае следующий:
te102decrypt.exe -k h15 -e .mboaue@aol.com_102
или :
te102decrypt.exe -k h15 -e .mboaue@aol.com_102 D:Path
— так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:Path

Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого она надеется выполнить осмысленную попытку восстановления,
будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл.

В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls
Не более того.

docx/xlsx/pptx эвристическому восстановлению (без полноценной расшифровки) не поддаются.
(я думаю, никакими recovery-утилитами такое не чинится).

Читать еще:  Какой антивирус ставить

С уважением, Колядко Михаил,
служба технической поддержки компании «Доктор Веб».

Вирус зашифровал файлы на компьютере в расширение .xtbl

Почти все файлы на диске (C:) оказались зашифрованы в расширение .xtbl!

Зашёл на переносной жёсткий диск USB с важной информацией, а там уже половина файлов с таким расширением. Снова выключил ноутбук и вызвал специалиста, тот просто предложил переустановить операционную систему, а насчёт зашифрованных файлов сказал, что расшифровать всё равно ничего не получится, так как дешифратора не существует. Так ли это?

Вирус зашифровал файлы на компьютере в расширение .xtbl

Извлекаю из архива файл вируса и запускаю его

Срабатывает первая линия обороны, установленная у меня программа AnVir Task Manager (антивирусный менеджер автозагрузки) сигнализирует, что вредоносный файл csrss.exe направляется прямиком в автозагрузку. Обратите внимание, AnVir популярно показывает нам свой вердикт о файле — Состояние: Определённо не требуется — вирусы, шпионы, реклама и «пожиратели ресурсов».

Если нажать Удалить, то никакого заражения не будет, но жмём Разрешить и происходит заражение моего компьютера вредоносной программой.

Срабатывает вторая линия обороны, антивирус ESET Smart Security 8 классифицирует вредоносную программу как Win32/Filecoder.ED (шифратор файлов).

Отключаю антивирус и запускаю вирус ещё раз, происходит заражение системы и через минуту все пользовательские файлы на моём рабочем столе и диске (C:) зашифровываются в расширение .xtbl.

Открывается папка автозагрузки:

C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuPrograms

с вредоносными файлами, которые нужно просто удалить.

Несомненно больше возможностей, чем Диспетчер задач, предлагает программа AnVir Task Manager (всегда ношу с собой на флешке), её можно установить прямо в безопасном режиме, также можете использовать портативную версию (работающую без установки) программы.

В главном окне AnVir Task Manager наглядным образом представлены все программы находящиеся в автозагрузке и самые опасные, с уровнем риска для пользователя почти 100%, в самом верху. У файлов фальшивые имена и AnVir однозначно относит их к вирусам.

Если щёлкнуть на выбранном файле правой мышью, то можно узнать его расположение в проводнике и увидеть все относящиеся к нему процессы, сервисы, ключи реестра, и удалить вирус основательно.

Кстати, если загрузиться в безопасный режим с поддержкой сетевых драйверов, то можно щёлкнуть правой мышью на подозрительном файле и выбрать в меню пункт Проверить на сайте и произойдёт проверка подозрительного файла на сайте VirusTotal — онлайн сервисе, анализирующем подозрительные файлы.

В нашем случае VirusTotal подтвердил подозрения ESET Smart Security 8. Посмотрите на заключения ведущих антивирусных программ: Касперский — Trojan.Win32.Fsysna.bvsm (вредоносное шифрование файлов), DrWeb — Trojan.PWS.Tinba.161, Avira — TR/Crypt.Xpack.189492 и так далее.

Кто заинтересовался возможностями AnVir , читайте нашу отдельную статью.

Также важна дальнейшая проверка диска (C:) антивирусом, только с помощью него я нашёл с десяток файлов вируса в папке временных файлов C:UsersИмя пользователяAppDataLocalTemp,

ещё вредоносный файл csrss.exe создал хитрым образом в корне диска (C:) вторую папку Windows и расположился в ней.

К слову сказать, антивирусный сканер Dr.Web CureIt тоже нашёл все заражённые файлы.

Кто боится запускать компьютер в безопасном режиме, может произвести сканирование Windows антивирусной загрузочной LiveCD флешкой (диском). Или снимите винчестер и подсоедините его к здоровой машине с хорошим антивирусом (вариант для опытных пользователей, так как существует небольшой риск заразить и здоровую машину).

К сожалению удаление вредоносной программы не расшифрует вам зашифрованные файлы.

Касперский тоже предлагает своё решение в виде утилиты RectorDecryptor.

Перейдите по ссылке http://support.kaspersky.ru/viruses/disinfection/4264#block2

и выберите Пункт 2. Как расшифровать файлы

и запустите его, в главном окне нажмите кнопку Начать проверку.

Ещё для расшифровки можете зайти на сервис https://decryptcryptolocker.com/ и нажмите на кнопку Выберите файл, затем в появившемся проводнике укажите зашифрованный файл и может вам повезёт!

Таких программ и сервисов предлагающих услуги расшифровки становится всё больше, но результат пока оставляет желать лучшего, поэтому рекомендую вам скопировать зашифрованные файлы на отдельный накопитель и запастись терпением, наверняка дешифратор будет создан в ближайшее время, и вы об этом обязательно узнаете на нашем сайте.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector