Премини към съдържанието

Препоръчан отговор


Здравейте колеги,

Както съм написал в заглавието -компютър бе заразен със CryptoWall . Хората на които принадлежи компютъра направиха backup на дисковете и ми ги пратиха ,информацията е доста важна.Има ли какво да се направи по въпроса,че като чета форумите ,положението ми изглежда безнадеждно. Компа е преинсталиран вече ,но е важно да спасим файловете,дори съм склонен да платя на някой да го направи.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

Посетете линка, изпълнете дадените там указания и публикувате исканото там. Изчакайте член на HJT да ви даде указания за по-нататъшни действия. Моля, имайте търпение!

  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Както написах,заразяването на файловете е на друг компютър.На мен ми изпратиха само 1 TIB* файл от back up  с молба да се опитам да възстановя някои файлове.

Редактирано от andibgpz (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Няма смисъл да възстановявате Image-a в опита да спасяване на файловете. За Cryptowall няма декриптиране. Той е от малкото солидни криптори, които не подлежат на такива манипулации без заплащане на злосторниците (нещо, което не препоръчвам освен ако те не са жизненоважни). Затова превенцията е по-важна от лечението специално при криптозаразите, защото в момента ситуацията е малко след дъжд качулка. Ако ви е мерак и имате време за губене тогава възстановете Image-a на тестова система (която не е в мрежа с други системи) и опитайте с ShadowExplorer да потърсите за читави копия на криптираните такива. Този метод ще сработи само ако създадения IMAGE е бил пълно копие на диска сектор по сектор. Ако е била бекъпната само файловата система то няма да има налични Shadow Copies. Алтернативен вариант е да се пробва тогава с програма за възстановяване на изтрити файлове като TestDisk => ето ръководство от Kaspersky за боравене с нея при възстановяването на изтрити файлове от GPCode (един от най-първите криптори в бранша) => http://support.kaspersky.com/viruses/disinfection/1809

Ако файловете са жизненоважни единствения сигурен начин при Cryptowall е заплащането за декриптор на злосторниците (нещо което не препоръчвам, защото ще ги мотивира допълнително и защото струва около 3 биткойна, което си е равно на близо 750$), но ако са толкова ценни...друг начин няма.

Поздрави и успех!

  • Харесва ми 4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря !


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами в него няма нищо ново. Премахване на ключа от който стартира вируса + почистване на папката с временно съдържание (просто почистване на вируса) и даже ако маха файловете:

DECRYPT_INSTRUCTION.HTML
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTION.URL

ръчно папка по папка има да си трие до утре файлове..Аз бих използвал скрипт за да ги премахна с един замах.

Колкото до връщането на файловете...просто потребителя използва неведнъж споменатата опция Previous Versions, но това ще работи само ако вируса не е използвал vssadmin.exe да изтрие старите Volume Shadow Copies....Версията на Cryptowall след 3-тата мисля, че вече ги триеше...даже и 3-тата май ги триеше. Ако потребителя пък сам е спрял System Restore още преди атаката от вируса или след това я е спрял при почистването (защото е чувал, че е добре да се спира за да не се върне и вируса след почистването - нещо супер грешно, защото вирус от System Restore няма как да се върне автоматично ако не се използва заразената точка на възстановяване - едва тогава би се върнал). А и мотото на чуждестранните колеги е по-добре заразена, но стартираща система, отколкото незареждаща, но чиста система. Та аз лично препоръчвам да не се спира System Restore (освен ако не говорим за червеи като Trojan.Killav/Chydo, полиморфни вируси като Virut/Sality и т.н.).

Та ако има стари сенчести копия, да могат да се спасят някои стари, но чисти версии на важните файлове. Има обаче и друг момент...ако сме задали малък процент в насройките от празното място на диск C:\. което System Restore да използва...при запълването му, старите копия на точките се трият автоматично и се презаместват с по-нови такива...А да не говорим, че често System Restore е спрян за останалите дялове различни от C:\...

В Windows 8 има дори и по-нова функция в лицето на File History => Control Panel\System and Security\File History, но се съмнявам много хора да я използват...Затова превенцията и бекъпа си остават по-добрите средства за противодействие. :)

  • Харесва ми 3

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от Vince Krastev
      Здравейте, видях че има нова версия на Cryptowall - четвърта подред. Вирусът е много опасен и искам да предупредя всички да предприемат нужните мерки чрез които да се опазят, които може да са:
      -Антималуер.
      -Файъруол външен.
      -Ониън нетуъркинг.
      -Външен процес монитор.
      -Външен и-мейл клиент със спам филтър. (Thunderbird, outlook, etc.)
      -Бекъп на информацията на външен носител, тъй като за рансъмуер е характерно да атакуват File History и Windows Backup. (мерси за подсещането, забравих бекъп-а)
      Ето повече инфо за новата версия, има някои разлики но резултата е един и същ - ако това те удари си FUBAR:
      http://sensorstechforum.com/remove-cryptowall-4-0-and-restore-the-encrypted-files/
       
    • от vslavkov
      Здравейте, рових 2-3 дни из интернет намерих разни руски форуми но и там не мога да помогна с декриптирането на този файл. DR.Web е последната програма която позлвах, търсих сериен номер и e-mail на потребител с пълен достъп за да им изпратя файла и да го сканират но не намерих. Имате ли идея какво да го правя тоя файл?
  • Дарение

×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.