Премини към съдържанието

    Препоръчан отговор


    Здравейте колеги,

    Както съм написал в заглавието -компютър бе заразен със CryptoWall . Хората на които принадлежи компютъра направиха backup на дисковете и ми ги пратиха ,информацията е доста важна.Има ли какво да се направи по въпроса,че като чета форумите ,положението ми изглежда безнадеждно. Компа е преинсталиран вече ,но е важно да спасим файловете,дори съм склонен да платя на някой да го направи.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

    Посетете линка, изпълнете дадените там указания и публикувате исканото там. Изчакайте член на HJT да ви даде указания за по-нататъшни действия. Моля, имайте търпение!

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Както написах,заразяването на файловете е на друг компютър.На мен ми изпратиха само 1 TIB* файл от back up  с молба да се опитам да възстановя някои файлове.

    Редактирано от andibgpz (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Няма смисъл да възстановявате Image-a в опита да спасяване на файловете. За Cryptowall няма декриптиране. Той е от малкото солидни криптори, които не подлежат на такива манипулации без заплащане на злосторниците (нещо, което не препоръчвам освен ако те не са жизненоважни). Затова превенцията е по-важна от лечението специално при криптозаразите, защото в момента ситуацията е малко след дъжд качулка. Ако ви е мерак и имате време за губене тогава възстановете Image-a на тестова система (която не е в мрежа с други системи) и опитайте с ShadowExplorer да потърсите за читави копия на криптираните такива. Този метод ще сработи само ако създадения IMAGE е бил пълно копие на диска сектор по сектор. Ако е била бекъпната само файловата система то няма да има налични Shadow Copies. Алтернативен вариант е да се пробва тогава с програма за възстановяване на изтрити файлове като TestDisk => ето ръководство от Kaspersky за боравене с нея при възстановяването на изтрити файлове от GPCode (един от най-първите криптори в бранша) => http://support.kaspersky.com/viruses/disinfection/1809

    Ако файловете са жизненоважни единствения сигурен начин при Cryptowall е заплащането за декриптор на злосторниците (нещо което не препоръчвам, защото ще ги мотивира допълнително и защото струва около 3 биткойна, което си е равно на близо 750$), но ако са толкова ценни...друг начин няма.

    Поздрави и успех!

    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Ами в него няма нищо ново. Премахване на ключа от който стартира вируса + почистване на папката с временно съдържание (просто почистване на вируса) и даже ако маха файловете:

    DECRYPT_INSTRUCTION.HTML
    DECRYPT_INSTRUCTION.TXT
    DECRYPT_INSTRUCTION.URL

    ръчно папка по папка има да си трие до утре файлове..Аз бих използвал скрипт за да ги премахна с един замах.

    Колкото до връщането на файловете...просто потребителя използва неведнъж споменатата опция Previous Versions, но това ще работи само ако вируса не е използвал vssadmin.exe да изтрие старите Volume Shadow Copies....Версията на Cryptowall след 3-тата мисля, че вече ги триеше...даже и 3-тата май ги триеше. Ако потребителя пък сам е спрял System Restore още преди атаката от вируса или след това я е спрял при почистването (защото е чувал, че е добре да се спира за да не се върне и вируса след почистването - нещо супер грешно, защото вирус от System Restore няма как да се върне автоматично ако не се използва заразената точка на възстановяване - едва тогава би се върнал). А и мотото на чуждестранните колеги е по-добре заразена, но стартираща система, отколкото незареждаща, но чиста система. Та аз лично препоръчвам да не се спира System Restore (освен ако не говорим за червеи като Trojan.Killav/Chydo, полиморфни вируси като Virut/Sality и т.н.).

    Та ако има стари сенчести копия, да могат да се спасят някои стари, но чисти версии на важните файлове. Има обаче и друг момент...ако сме задали малък процент в насройките от празното място на диск C:\. което System Restore да използва...при запълването му, старите копия на точките се трият автоматично и се презаместват с по-нови такива...А да не говорим, че често System Restore е спрян за останалите дялове различни от C:\...

    В Windows 8 има дори и по-нова функция в лицето на File History => Control Panel\System and Security\File History, но се съмнявам много хора да я използват...Затова превенцията и бекъпа си остават по-добрите средства за противодействие. :)

    • Харесва ми 3

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    • Горещи теми в момента

    • Подобни теми

      • от Vince Krastev
        Здравейте, видях че има нова версия на Cryptowall - четвърта подред. Вирусът е много опасен и искам да предупредя всички да предприемат нужните мерки чрез които да се опазят, които може да са:
        -Антималуер.
        -Файъруол външен.
        -Ониън нетуъркинг.
        -Външен процес монитор.
        -Външен и-мейл клиент със спам филтър. (Thunderbird, outlook, etc.)
        -Бекъп на информацията на външен носител, тъй като за рансъмуер е характерно да атакуват File History и Windows Backup. (мерси за подсещането, забравих бекъп-а)
        Ето повече инфо за новата версия, има някои разлики но резултата е един и същ - ако това те удари си FUBAR:
        http://sensorstechforum.com/remove-cryptowall-4-0-and-restore-the-encrypted-files/
         
      • от vslavkov
        Здравейте, рових 2-3 дни из интернет намерих разни руски форуми но и там не мога да помогна с декриптирането на този файл. DR.Web е последната програма която позлвах, търсих сериен номер и e-mail на потребител с пълен достъп за да им изпратя файла и да го сканират но не намерих. Имате ли идея какво да го правя тоя файл?
    • Разглеждащи в момента   0 потребители

      Няма регистрирани потребители разглеждащи тази страница.

    • Дарение

    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.