Премини към съдържанието
От 1-ви септември 2021 г., вход във форумите ще е възможен само с имейл адрес вместо потребителско име. Ако не помните имейла с който сте се регистрирали, вижте го в настройките на профила си. ×
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Отново криптирани файлове


Препоръчан отговор


Здравейте,

Да, файловете наистина са декриптирани...Благодаря на flexxpoint, Dr.web и Kaspersky за бързата реакция.

Преди да започнем, ако искате направете копия на криптираните файлове на външен носител (поне на по-важните такива).

След това:

Вариант 1 (предоставен ми от Kaspersky)

Изтеглете архива и го разархивирайте на десктопа.

Стартирайте файла XoristDecryptor.exe и натиснете Start Scan.

След приключването на работата на програмата ще се създаде отчет в C: Публикувайте го в следващия си пост.

Ако инструмента не засече файловете (би трябвало да ги засече автоматично, защото е обновена версия) направете така:

От Start => Run => въведете командата:

"%userprofile%desktopxoristdecryptor.exe" -uid Xoristm2

Натиснете OK

Затворете всички отворени документи преди да го стартирате...спрете и всички програми.

Вариант 2 (предоставен от Dr.Web, благодарение на flexxpoint).

Изтеглете този инструмент и го запазете в свободната директория на дял C:.

Start => Run => въведете командата:

C:te94decrypt.exe -k 103

Натиснете OK

Затворете всички отворени документи преди да го стартирате...спрете и всички програми.

Пишете за резултатите. :)

 

 

Здравейте,

 

миналия ден един мой приятел ми донесе един от счетоводните му компютри, заразен точно със CTB-Locker, явно последната модификация - пробвах всичко, което е описано в нета, но без резултат, засега мисля само успях да изчистя самия вирус с редица антивирусни (основно Нод антивирус + онлайн скенера им) и редица Spyware и Adaware приложения.

В регистрите като влязох, нямаше нищо притеснително, но допускам, че вече споменатите приложения може да са почистили ....

 

За момента с Shadow Explorer от този линк (http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information) успях да копирам файловете, 1-2 дни преди да са заразени, тъй като нямаха и бекъп на компютъра дори.

Сега остава да опитам да декриптирам файловете, и да видим дали ще се получи, като по този начин дори ще избегна преинсталацията.

 

Държа да подчертая, при мен няма заразени ЕХЕ-та, основно док, ексел, пдф и тхт файлове ...

 

Въпросните декриптори от цитата обаче не могат да се свалят - за първия казва, че времето за даунлоуд е изтекло, за втория иска име и парола, понеже е от фтп.

 

Мога ли да помоля някой да ми ги прати на draganovhмаймункabv.bg?

Или да ги качи тук с нови линкове за даунлоуд, после ще споделя резултата съответно.

Ако може още днес, ще е чудесно, следобед да продължавам да го боря ...

 

FFreestyleRR - искате ли да ви пращам някакви файлове или логове?

Към момента файловете в компютра си стоят криптирани и съответно с добавено разширение с произволни букви ...

 

Благодаря предварително, много полезна тема, след като две вечери четох усилено чужди форуми, то решението се намери тук, за което пък изобщо не подозирах ....

Браво браво и пак браво, за труда!

 

П.П. Не е ясно как са се заразили точно, уж изведнъж, както винаги става  ;-) Шматки са, и не могат да кажат дори ...

Дано сега най-накрая ме послушат и да си правят бекъпи на информацията ...

Линк към коментара
Сподели в други сайтове

Здравейте..!Отделих мнението в отделна тема съгласно правилата на подраздела. Всъщност може да сте забелязали че пишете в тема от 2012 г. и в този случай става въпрос за съвсем друг вид зараза...!

 

За вашия случай:

 

 

 

B-boy[styLe], на 16 Дек 2014 - 10:41 PM, написа:

Здравейте,
 
За съжаление почти сигурно е, че можете да забравите за тези файлове. Новите варианти на повечето криптиращи вируси използват C&C server от където се тегли декриптиращия ключ и не го оставя на компютъра, както правеше досега и затова не може да се създаде инструмент, който да обърне процеса. Вариантите са три:
 
1. Плащате си на злосторниците (със съмнителен ефект, но понякога с успех).
2. Пробвате да възстановите файлове по начините описани тук:  CTB Locker and Critroni Ransomware Information Guide and FAQ
3. Отписвате файловете си завинаги.
 
Операционната Система може да бъде почистена и без форматиране, но файловете няма как да бъдат декртиптирани независимо дали ще решите да използвате нашите инструменти и методи за почистване или ще форматирате. По втория начин ефекта ще е по-сигурна и чиста система, но пък преинсталацията е досаден момент, особено за хора неразполагащи с много свободно време за настройване и конфигурацията на всички програми от нулата.
 
В случая за този тип гадини превенцията е по-доброто решение. Стигне ли се до почистване вече е късно. Този тип вируси са по десктруктивни и от полиморфните бацили, които заразяват всички изпълними файлове. Тук целта е друга - извличане на лични настройки, акаунти, пароли (компрометиране на системата) и криптиране на всички важни документи в опит на изнудване на потребителите да си платят за да възстановят достъпа си до така важните файлове.
 
В момента с екипа подготвяме тема за запознаване на потребителите с основните детайли, които трябва да знаят за да се опазят от подобни зловредни програми. Процеса е бавен, защото използваме главно уикендите, а сега с всички тези празници просто времето съвсем отеснява.
 
Поздрави!
Линк към коментара
Сподели в други сайтове

Мдаам, снощи късничко четох тези теми и съм ги поомотал малко :-) Оставих си един линк, явно е бил на старата тема, пък и сега не погледнах, извинявам се.

 

Както и да е, добре че успях да копирам поне файловете преди да са заразени, което пак е вариант, а декриптираните ще ги трийна освен и ще ги заместя с оригиналните ... По принцип бих преинсталирал компютъра, но има доста счетоводен софтуер, а сега нямам много време, та ще го закрепя така, а след празниците може да му направя чиста преинсталация, хем и те да нямат много работа с него ...

 

Благодаря, хубав ден!

Линк към коментара
Сподели в други сайтове

Архивирана тема

Темата е твърде стара и е архивирана. Не можете да добавяте нови отговори в нея, но винаги можете да публикувате нова тема, в която да продължи дискусията. Регистрирайте се или влезте във вашия профил за да публикувате нова тема.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Подобни теми

    • от stef000
      Здравейте. Тези съобщения (от снимките) се отварят (всеки път) при пускането на services.msc. Системата е инсталирана преди няколко месеца и е използвана предимно за интернет. Не ми е създавала проблеми. Също така сканирах с няколко програми включително Malwarebyates и KVRT и всичко излиза чисто!
       


      Addition.txt FRST.txt
    • от [email protected]
      Днес си пускам компютъра и ми прави впечатление, че зарежда бавно някой страници а други като например калдата изобщо не зарежда, реших че може да е вирус и се опитах да пусна он лайн скенера на ESET, обаче казва, че не може да зареди базата със сигнатурите. Опитах да дръпна някаква антивирусна от нета и навсякъде нямам достъп. Гледам, че и Уиндоус ъпдейтите са недосръпни. Другото което прави впечатление, че Дефендъра е недостъпен, като кликна на Уиндоус сикюрите прозореца е празен. Като го пуснах някакси гледам че сканира офлайн. Какво мога да направя като не мога да сваля антивирусна ? И нещо друго ако Тубата работи нормално и влизам в др. форуми например, няма как да е от нета?
    • от サムライオートバイ
      Последните няколко дни се интересувах малко от chia и как мога да копам/фармя тази нова валута и посещавах редица сайтове свързани с темата и pool фарминга. На няколко пъти ми пропещяваше антивирусната, но не й обръщах внимание. Предполагам че от там съм лепнал някоя зараза. Ако има значение интернета на PC-то идва от стар андроид телефон с операционна система андроид 8 и хотспот. 

      Addition.txt
      Дава ми: За съжаление при качването на този файл възникна неизвестна грешка в сървъра.
      (Error code: -200)    когато се пробвам да кача Frst.txt FRST.txt
    • от The_Nomad
      Здравейте,
      имах неблагоразумието да кликна на един от модерните линкове, дето разпращат във фейса, като мислех че Касперски ще го спре, но съм забравил че е изключен за малко 😁 Отвори се празна страница и седеше бяла. После включих Касперски и кликнах пак, като този път страницата беше блокирана. Съмнява ме, да не са източили пароли от Операта или нещо друго. В стартъпа нямам нови процеси. Прикачам логовете и снимка от Касперски, ще съм благодарен за помощ. (САМО ДА СПОМЕНА ЧЕ ЪПДЕЙТИТЕ НА УИН СА ИЗКЛЮЧЕНИ НАРОЧНО ОТ МЕН)
      FRST.txtAddition.txt

    • от StikiNetBG
      Здравейте,
      Наложи се да преинсталирам Windows-а си тъй като се получиха многожество проблеми. Установих че причината за това е някакъв wrui вирус, които добавя своето файлово разширение към всеки файл. За съжаление след това файловете не се отварят. Или може би са криптирани по някакъв начин.
      https://geeksadvice.com/remove-wrui-ransomware-virus/ - за този вирус става дума. Посочва се че с програмата RESTORO могат да се възстановят файловете.
      Изтеглих RESTORO, но за неговата пълна функционалност се изисква някакъв лицензен ключ.
       
      Въпроса ми е по какъв начин мога да възстановя отново файловете си. Имам много важни документи които са важни за моята работа.
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване