На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
Страницы: (4) 1 [2] 3 4  все  ( Перейти к последнему сообщению )  
> CTB-Locker - нужна помощь в расшифровке файлов... , Необходима платная помощь...
    А я сегодня тоже поймал эту заразу, но справился с ней. Странно, что везде пишут, что зараженные файлы восстановить невозможно. В два клика всё прекрасно лечится. Язычник, если твоя проблема еще актуальна - пиши в личку, помогу.

    Добавлено
    Цитата shm @

    реально, более того, элементарно. Главное систему не трогать. А то некоторые жертвы зараженные файлы на флешки позаписывали, а винду переустановили. Вот таким беднягам уже точно мало что может помочь.
      Цитата Snake.Underwood @
      реально, более того, элементарно.

      Нереально - расшифровать файлы, не имея ключа (если речь идет именно о CTB-Locker, а не о чем-то внешне похожем на него).
      Восстановить исходные файлы - "реально, более того, элементарно" при определенных условиях.
        Согласен, расшифровать CTB-Locker без ключа - нереально. Но расшифровывать и незачем. Пострадавшим нужен результат - получение своей информации в первозданном виде, а не криптографическая победа над зверем. А результат этот можно получить в 2 простых действия:
        1) После того как убит сам вирус и его загрузчик (об этом много информации в сети, это несложно найти), переименовываем в проводнике файл, удаляя в названии всё, что правее точки и вместо этого возвращая родное расширение. Например, пострадавший файл "фотка.JPG.eruihyi" переименовываем в "фотка.jpg" Появляется окно "Переименование" с надписью: "После изменения расширения этот файл может оказаться недоступным. Выполнить изменения?" Говорим - да. Иконка файла приобретает знакомый вид, но сам файл пока еще не открывается.

        2)Жмем правой клавишей на файл, выбираем в меню "восстановить прежнюю версию". Появляется список из как минимум одной версии файла до заражения. В этом же окне ниже есть 5 кнопок : "Открыть" "Копировать" "Восстановить" "ОК" и "Отмена" . Выбираем "Восстановить". Появляется надпись "Файл был успешно восстановлен до предыдущего состояния" и кнопка "ОК" . Клацаем, открываем файл, радуемся и бросаем в воздух чепчики :)) Повторяем процедуру с остальными зараженными файлами.
        Так процесс выглядит если установлена любая версия Windows7. В Windows8 функция восстановления предыдущих версий файлов реализована несколько иначе (гугл в помощь), но алгоритм процедуры лечения тот же. В более ранних версия винды типа Висты и ХР - сложнее, там такой функции не было, а было некое подобие "копирование теневого тома". Вероятно, потанцевать с бубном придется дольше, не знаю, не пробовал. (у меня эта беда на 7-ке приключилась и мне было намного проще).
        Теперь об условиях. Данный метод работает, только если вы не убивали свою систему, не форматировали винчестер и никуда не переносили зараженные файлы. Т.е. на флешке или даже в другой папке компа, файл не восстановится таким способом. А вот, например, если зайти с другого компа на пострадавший компьютер по сети и проделать вышеописанное, никуда при этом не перемещая зараженные файлы, - то всё тоже будет ок.

        Странно другое, в сети сотни криков о помощи от пострадавших пользователей. Десятки форумов с одним и тем же вопросом. Многие в отчаянии платят большие деньги вымогателям, при этом их частенько кидают. Но никто из авторитетных вирусологов типа Касперского или Dr.Web не смог, а скорее не захотел, разобраться с проблемой, которая на самом деле решается настолько просто, что даже смешно это расписывать в подробностях. Люди стали какие-то черствые ((.
          Snake.Underwood, да кэп, все так.
            Спасибо. :good:

            Завтра утром попробую, на свежую голову.

            За успех выпью сегодня!
              Цитата Snake.Underwood @
              Странно другое ...

              Странно, что ты не знаешь о том, что
              1) Этот метод восстановления файлов (из теневой копии) упоминается практически во всех описаниях локера, гуляющих по инету. В частности - в приведенной в #8 ссылке (правда по англицки). Поэтому не знать об этом способе может только ленивый или невнимательный
              2) Однако там же упоминается, что новые версии локера пытаются удалять все теневые копии, но это "не всегда получается". Видимо у тебя как раз тот счастливый случай, когда локеру по какой-то причине не удалось удалить теневую копию
              Сообщение отредактировано: leo -
                Цитата Snake.Underwood @
                ХР - сложнее, там такой функции не было, а было некое подобие "копирование теневого тома". Вероятно, потанцевать с бубном придется дольше, не знаю, не пробовал.


                У меня XP. Нет такой функции...

                Вопрос может быть решён только через интернет путём подключения к моему ПК с другой машины с предустановленной Windows 7 ?

                И ещё вопрос - нужно с каждым файлом работать отдельно или возможно пакетное "лечение" ?

                Спасибо.
                  Цитата Язычник @
                  У меня XP. Нет такой функции...

                  Если XP SP 2 и выше, то почитай следующий пункт по вышеприведенной ссылке: Using Shadow Explorer. Скачай free-версию по ссылке в статье и посмотри, может тебе тоже повезло
                  PS: Пардон(ьте), похоже на XP это не сработает. Вроде как поддержка теневого копирования в XP SP2 заложена, но не активирована (используется только для создания точек восстановления системы). По крайней мере в описании ShadowExplorer говориться только о висте и выше

                  Добавлено
                  Цитата Язычник @
                  И ещё вопрос - нужно с каждым файлом работать отдельно или возможно пакетное "лечение" ?

                  Вроде как, можно папки целиком восстанавливать

                  Добавлено
                  Цитата Язычник @
                  Вопрос может быть решён только через интернет путём подключения к моему ПК с другой машины с предустановленной Windows 7 ?

                  Если теневое копирование не было задействовано, то и восстанавливать нечего\неоткуда
                  Сообщение отредактировано: leo -
                    Цитата Snake.Underwood @
                    реально, более того, элементарно.

                    Клиника. О какой расшифровке идет речь, если есть резервные копии файла? Не важно сделаны ли они средствами ОС или ручками. Другое дело, что они есть далеко не всегда. И с 99% вероятностью это случай Язычник. Более того, с попыток извлечения теневой копии начинается любая инструкция по восстановлению данных, как верно подметил leo.
                    Сообщение отредактировано: shm -
                      Всем добрый день. Хочу обновить и продолжить текущею тему.
                      На днях мной был схвачен этот вирус, как и у всех заразил все .txt, .doc, .jpg документы и не как их не открыть, зашифрованы. Проведя ряд операций по зачистке остатков этого вируса я нашел интересные дамп файлы со скриншотом вируса, при расширении .bmp и .txt который защищен от редактирования и открытия, в каждой папке где были текстовые файлы либо картинки. Сразу стал заметен прогресс. Раньше при переименовании файла (работал с картинками) а именно просто удаления в названии приставки вируса .sdlagki ничего толком не менялось, картинка оставалась не распознанная. Теперь вот что - в проводнике с видом "эскизы страниц" стало видно содержимое картинке, НО открыть ее так и не получается. Я в тупике и не знаю что делать дальше, может кто то подскажет. :wall: Вот прилагаю фотографию с которой работаю.
                      Еще раз уточню, у меня XP и на эскизах я вижу что на фотографии но открыть не могу. С текстовыми файлами прогресса нет, так и зашифрованны.
                      Прикреплённый файлПрикреплённый файл304_292.JPG (7,41 Кбайт, скачиваний: 1479)

                      Добавлено
                      еще есть такая тема, когда вставляю в текстовый редактор (ворд) это картинку мне выдает "не найден фильтр изображения".
                      Сообщение отредактировано: Mafuseil -
                        Цитата Mafuseil @
                        когда вставляю в текстовый редактор (ворд) это
                        Это не файл JPG, и не файл картинки вообще, потому и
                        Цитата Mafuseil @
                        "не найден фильтр изображения"


                        В проводнике, скорее всего, захешированные ранее (пока ещё вирус был активен) картинки показываются. Дата, время. размер не менялись, поэтому проводник не лезет в сам файл, а пользуется старой "маркой"

                        Добавлено
                        Цитата Mafuseil @
                        Проведя ряд операций по зачистке остатков этого вируса
                        А это, возможно, вообще ставит крест на возможностях восстановления.
                          Понял. Тогда такой вопрос, если остались не тронуты вирусом "марки" которыми пользуется проводник, возможно ли как то их найти и с них восстановит сами файлы?
                            Упомянутая марка, это изображение размером примерно 100х100 пикселей, хранящееся в архиве под названием thumbs.up в папке рядом с графическими файлами. Формат этого архива я не знаю, сразу отключаю их показ, поскольку проводником из-за его никакой функциональности практически не пользуюсь.

                            Кстати, одним из вариантов борьбы с разрушениями, нанесёнными такими вирусами в прошлом была упаковка файлов в архив, пока вирус работает, и распаковка после его удаления. Правда надо защищать сам архив.
                            Поэтому, кстати, работает "восстановление из копии", если таковая есть. При резервном копировании файлы архивируются, и вирус не может их повредить.

                            Чтобы разобраться с алгоритмом шифрования необходимо иметь несколько пар - исходный файл/повреждённый файл. И чем больше, тем лучше. Или текст программы, осуществляющей шифрование.
                              Цитата amk @
                              Чтобы разобраться с алгоритмом шифрования необходимо иметь несколько пар - исходный файл/повреждённый файл. И чем больше, тем лучше. Или текст программы, осуществляющей шифрование

                              Алгоритм шифрования известен, структура зашифрованного файла тоже. Но для серьезного криптостойкого алгоритма (ECDH + AES-256 с индивидуальным ключом для каждого файла) это ничего не дает...
                                Не забудь потом выкинуть винду на помойку и установить нормальную систему, где нет подобного идиотизма с вирусами.
                                0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                0 пользователей:
                                Страницы: (4) 1 [2] 3 4  все


                                Рейтинг@Mail.ru
                                [ Script execution time: 0,0421 ]   [ 20 queries used ]   [ Generated: 28.03.24, 09:41 GMT ]