Премини към съдържанието

    Препоръчан отговор

    andibgpz    50

    Здравейте колеги,

    Както съм написал в заглавието -компютър бе заразен със CryptoWall . Хората на които принадлежи компютъра направиха backup на дисковете и ми ги пратиха ,информацията е доста важна.Има ли какво да се направи по въпроса,че като чета форумите ,положението ми изглежда безнадеждно. Компа е преинсталиран вече ,но е важно да спасим файловете,дори съм склонен да платя на някой да го направи.

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    ExaFlop    26913

    https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

    Посетете линка, изпълнете дадените там указания и публикувате исканото там. Изчакайте член на HJT да ви даде указания за по-нататъшни действия. Моля, имайте търпение!

    • Харесва ми 2

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове
    andibgpz    50

    Както написах,заразяването на файловете е на друг компютър.На мен ми изпратиха само 1 TIB* файл от back up  с молба да се опитам да възстановя някои файлове.

    Редактирано от andibgpz (преглед на промените)

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове
    B-boy/StyLe/    19527

    Няма смисъл да възстановявате Image-a в опита да спасяване на файловете. За Cryptowall няма декриптиране. Той е от малкото солидни криптори, които не подлежат на такива манипулации без заплащане на злосторниците (нещо, което не препоръчвам освен ако те не са жизненоважни). Затова превенцията е по-важна от лечението специално при криптозаразите, защото в момента ситуацията е малко след дъжд качулка. Ако ви е мерак и имате време за губене тогава възстановете Image-a на тестова система (която не е в мрежа с други системи) и опитайте с ShadowExplorer да потърсите за читави копия на криптираните такива. Този метод ще сработи само ако създадения IMAGE е бил пълно копие на диска сектор по сектор. Ако е била бекъпната само файловата система то няма да има налични Shadow Copies. Алтернативен вариант е да се пробва тогава с програма за възстановяване на изтрити файлове като TestDisk => ето ръководство от Kaspersky за боравене с нея при възстановяването на изтрити файлове от GPCode (един от най-първите криптори в бранша) => http://support.kaspersky.com/viruses/disinfection/1809

    Ако файловете са жизненоважни единствения сигурен начин при Cryptowall е заплащането за декриптор на злосторниците (нещо което не препоръчвам, защото ще ги мотивира допълнително и защото струва около 3 биткойна, което си е равно на близо 750$), но ако са толкова ценни...друг начин няма.

    Поздрави и успех!

    • Харесва ми 4

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове
    KoiAzLiWe    414

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове
    B-boy/StyLe/    19527

    Ами в него няма нищо ново. Премахване на ключа от който стартира вируса + почистване на папката с временно съдържание (просто почистване на вируса) и даже ако маха файловете:

    DECRYPT_INSTRUCTION.HTML
    DECRYPT_INSTRUCTION.TXT
    DECRYPT_INSTRUCTION.URL

    ръчно папка по папка има да си трие до утре файлове..Аз бих използвал скрипт за да ги премахна с един замах.

    Колкото до връщането на файловете...просто потребителя използва неведнъж споменатата опция Previous Versions, но това ще работи само ако вируса не е използвал vssadmin.exe да изтрие старите Volume Shadow Copies....Версията на Cryptowall след 3-тата мисля, че вече ги триеше...даже и 3-тата май ги триеше. Ако потребителя пък сам е спрял System Restore още преди атаката от вируса или след това я е спрял при почистването (защото е чувал, че е добре да се спира за да не се върне и вируса след почистването - нещо супер грешно, защото вирус от System Restore няма как да се върне автоматично ако не се използва заразената точка на възстановяване - едва тогава би се върнал). А и мотото на чуждестранните колеги е по-добре заразена, но стартираща система, отколкото незареждаща, но чиста система. Та аз лично препоръчвам да не се спира System Restore (освен ако не говорим за червеи като Trojan.Killav/Chydo, полиморфни вируси като Virut/Sality и т.н.).

    Та ако има стари сенчести копия, да могат да се спасят някои стари, но чисти версии на важните файлове. Има обаче и друг момент...ако сме задали малък процент в насройките от празното място на диск C:\. което System Restore да използва...при запълването му, старите копия на точките се трият автоматично и се презаместват с по-нови такива...А да не говорим, че често System Restore е спрян за останалите дялове различни от C:\...

    В Windows 8 има дори и по-нова функция в лицето на File History => Control Panel\System and Security\File History, но се съмнявам много хора да я използват...Затова превенцията и бекъпа си остават по-добрите средства за противодействие. :)

    • Харесва ми 3

    Сподели този отговор


    Линк към този отговор
    Сподели в други сайтове

    Регистрирайте се или влезете в профила си за да коментирате

    Трябва да имате регистрация за да може да коментирате това

    Регистрирайте се

    Създайте нова регистрация в нашия форум. Лесно е!

    Нова регистрация

    Вход

    Имате регистрация? Влезте от тук.

    Вход


    ×

    Информация

    Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.