Премини към съдържанието

Препоръчан отговор


Здравейте, в лаптопа ми се появи сериозен проблем - вследствие на вируса GandCrab v5.1  доста файлове се прекодираха с разширение .puiuf и във всяка заразена папка се появи един и същи файл  с име PUIUF-DECRYPT.txt, в който се обяснява как да възстановя (декриптирам) файловете. Да инсталирам TOR браузъра и да отида на определен сайт, където след заплащане ще ми изпратят декодиращ код. В Интернет се предлага да се сканира най-вече с SpyHunter, но след това за пълното му функциониране трябва да се закупи. Пробвах с други различни анти програми, но няма резултат - не откриват GandCrab v5.1. Прикачвам файла PUIUF-DECRYPT.txt.

 Моля за помощ, благодаря предварително!

PUIUF-DECRYPT.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Чети тук как се оправя, описано е подробно:

https://sensorstechforum.com/remove-gandcrab-5-1-ransomware/

Но няма гаранция, че ще успееш да си декриптираш файловете. Дано да имаш важната информация на друго място/носител, защото най-вероятно е безвъзвратно изгубена. Правиш пълен backup на системата, преди да пробваш нещата и декрипторите. Най-добре прочети няколко пъти какво е написано, ако няма да можеш да се справиш потърси специалист, може и да не е евтино, ако изобщо се получи. Ако нямаш важна информация - триеш всички дялове и правиш чиста инсталация. И за в бъдеще внимавай какво теглиш/стартираш, проверявай подробно файловете ако трябва във виртуална машина и онлайн скенер, прави си редовно архиви на различни независими носители и онлайн на важните данни.

 

За почистване може да пробваш и Malwarebytes. С това може да премахнеш вируса, но не и да си оправиш файловете.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пусни тема в раздела за почистване и остави специалистите да преценят какво и как да се направи.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 8 часа, apolaz написа:

Здравейте, в лаптопа ми се появи сериозен проблем - вследствие на вируса GandCrab v5.1  доста файлове се прекодираха с разширение .puiuf и във всяка заразена папка се появи един и същи файл  с име PUIUF-DECRYPT.txt, в който се обяснява как да възстановя (декриптирам) файловете. Да инсталирам TOR браузъра и да отида на определен сайт, където след заплащане ще ми изпратят декодиращ код. В Интернет се предлага да се сканира най-вече с SpyHunter, но след това за пълното му функциониране трябва да се закупи. Пробвах с други различни анти програми, но няма резултат - не откриват GandCrab v5.1. Прикачвам файла PUIUF-DECRYPT.txt.

 Моля за помощ, благодаря предварително!

PUIUF-DECRYPT.txt

За премахване на вируса, ако е останал такъв, използвай всеки по-известен скенер (или безплатна версия на антивирусната програма), с който да сканираш и почистиш системата. Тук колега е показал едни от последните резултати. Може да си избереш някоя по-известна антивирусна или да направиш проверка в подраздела: Премахване на зловреден софтуер.

Декриптирането на файловете без заплащане е практически невъзможно към момента за версията, с която са криптирани файловете ти, но все пак може да пробваш като изтеглиш и стартираш инструмента за декриптиране на БитДефендер. Инструментът е направен за декриптиране на GandCrab версии 1, 4 и 5 (до версия 5.0.2), като се работи по декриптор за версии 2 и 3. От версия 5.0.4 на GandCrab декриптирането с този (или друг) инструмент към момента е невъзможно.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

С прости думи:

1. Внимава се, какво, от къде и защо се влачи

2. Не се работи с админ акаунт

3. Прави се редовен архив на важните, работни файлове поне на две физически различни места.

В този случай (ако криптираните файлове, са мн важни), смъкваш този диск от лаптопа, слагаш нов, вдигаш си наново системата и работиш.

А, стария диск, седи и чака декроиптор, ако изобщо се появи такъв.

Естествено, може и да си платиш, но....

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря за бързия отговор. Зная и се стремя да спазвам и съветите. На 24.01.19 от един торент реших да инсталирам InPixio Photo Clip Professional 8.3.0 и тогава се получи историята с GandCrab v5.1. Интересното е, че не всички папки и файлове са засегнати. Повечето са от D: устройството. Пробвах и с различни онлайн скенери, както и декриптиране с различни приложения (в това число и с БитДефендер), но за сега няма резултат. Ще чакам да излезе нещо, което успешно да приложа. Пуснах темата като се надявах някой да е открил нещо по въпроса. 

Още един път благодаря с пожелания за лек и успешен ден!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Реших да постна и тук за новата версия, ако някой не следи подраздела:

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от NIKISHARK
      Kaspersky anti-ransomware tool

      Анти-рансъмуерният инструмент на Kaspersky работи във фонов режим и наблюдава мрежовата активност за всичко, което съвпада с познатото поведение или модели на рансъмуер. Този инструмент е идеален за бизнеса и за лична употреба на домашния компютър, тъй като е безплатен и лесен за навигация, като същевременно предлага добро ниво на защита.
      Официална страница : https://www.kaspersky.com/anti-ransomware-tool
      А самата програма може да изтеглите от тук: https://special.s.kaspersky-labs.com/eac28y8mcra7qepyo52l/anti_ransom_installer.msi
       
      BitDefender Anti-ransomware
       

      Инструментът на BitDefender е предназначен да действа като защита срещу заразяване с рансъмуер на CTB-Locker, Locky, Petya и TeslaCrypt.
       
      Bitdefender Anti-Ransomware използва различни техники, за да “излъже“ определени семейства на рансъмуер, че вашият компютър вече е заразен, като по този начин отклонява атаките им. Този метод работи за TeslaCrypt, BTC-Locker, Locky и първата версия на Petya .
      За защита срещу всяка друга криптирана атака на рансъмуер ще ви е необходима допълнителна защита . Компанията подчертава, че програмата не е предназначена за заместване на антивирусна програма, а трябва да се използва заедно с нея.
       
      Можете да изтеглите програмата от тук: http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe
       
      BitDefender вече предлага няколко допълнителни средства за декриптиране на вашите файлове.
      Той предлага инструменти за Annabelle, BTCWare и GandCrab, както и инструмент, който ще ви помогне да разберете коя фамилия или под-версия на рансъмуер е шифровала вашите данни.
      Програмата за разпознаване на вида рансъмуер може да изтеглите от тук:
      https://labs.bitdefender.com/wp-content/uploads/downloads/bitdefender-ransomware-recognition-tool/
       
       
      NeuShield Data Sentinel Free
       

      Според разработчика ,NeuShield Data Sentinel прави нещо повече от откриване и блокиране на рансъмуер атаки:
      -„Ние сме единствената анти-рансъмуерна технология, която може да възстанови повредените ви данни от атаки със зловреден софтуер без резервно копие. Data Sentinel използва Mirror Shielding ™, за да защити файловете, като гарантира, че можете незабавно да възстановите вашите важни данни от атаките на рансъмуер. Традиционната защита на рансъмуер често е неефективна при спиране на нови или неизвестни атаки. NeuShield Data Sentinel използва различен подход, използвайки патентована технология, наречена Mirror Shielding ™ . Mirror Shielding ™ създава защитен щит между вашите файлове и приложенията. Когато злонамерени приложения направят промени във файл, първоначалното копие на този файл остава неактивно, което ви позволява да върнете нежеланите промени. В допълнение, многобройни промени на файла се съхраняват с помощта на Data Engrams ™ , което ви позволява да се върнете към предишни версии на файл. “
      NeuShield Data Sentinel предлага пълна защита дори и от неизвестни още ransomware .
      С NeuShield Data Sentinel повредите от рансъмуера винаги могат да бъдат възстановени , защото промените не се извършват директно върху защитените файлове.
       
      За възможностите на програмата може да прочетете тук: https://www.neushield.com/files/products/data-sentinel-v1.7-datasheet.pdf
       
      Може да свалите програмата от тук: https://www.neushield.com/download/nds
       
       
      Malwarebytes Anti-Ransomware Beta

       

      Malwarebytes Anti-Ransomware използва усъвършенствана проактивна технология, която следи какво прави рансъмуерът и го спира , преди дори да достигне до вашите файлове.Не разчита на сигнатури или евристики, така че е лек и напълно съвместим с антивирусния софтуер.
      Този метод се оказва толкова успешен при спирането на ransomware, че Malwarebytes Anti-Ransomware е открил всички най-нови и най-опасни варианти на рансъмуер от момента на разработване и в бета версия 1. Това означава, че когато използвате Malwarebytes Anti-Ransomware, не е нужно да се притеснявате за заразяване с CryptoLocker, CryptoWall или CTBLocker.
       
      Може да изтеглите последната версия от тук:
      https://malwarebytes.app.box.com/s/6vqfgzs9ci86fbga4nt95yq5uytppg1b
       
      А тук може да прочетете повече : https://forums.malwarebytes.com/forum/172-anti-ransomware-beta/
       
       
      CyberSight RansomStopper
       

       
       
      RansomStopper открива, блокира и спира криптиращи атаки в реално време, като защитава важни файлове от загуба.
       
      RansomStopper е ефективен срещу заплахи тип 0-day и сложни варианти на шифриращи програми . За да се предотврати инфекция се използва технологията за машинно обучение. В допълнение, програмата използва специални цифрови примамки и капани, за да принуди кодера да се издаде, преди да може действително да повреди системата.
       
      Поведенческият анализ на процесите и файловете се извършва в реално време. RansomStopper е съвместим с повечето модерни антивируси и програми за сигурност и е средство за допълнителна защита срещу криптографи.
      Основни характеристики на RansomStopper
       
      -Блокира рансъмуер атаки в реално време с помощта на поведенчески анализ
      -Атаките, открити на едно устройство, задействат защитата на всички други устройства.
      -Интегриране в ядрото на операционната система за минимизиране на времето за реакция.
      -Разположени капани и примамки, които принуждават криптиращия вирус да се издаде.
      -Технологиите за машинно обучение ви позволяват да откриете злонамерен файл, преди да бъде изпълнен.
      -Идентифициране и автоматично прекратяване на подозрителни процеси.
      -Защита на критичните зони на диска от атаки.
      -Защита от многопоточни атаки от рансъмуер програми.
      Официална страница :https://cybersight.com/
      Линк за сваляне :
      х64 : https://files.cybersight.com/installers/304/consumer/RansomStopperSetup.exe
      х32: https://files.cybersight.com/installers/304/consumer/RansomStopperSetup32bit.exe
       
       
       
      CryptoPrevent
       
       

      CryptoPrevent е надеждна софтуерна добавка, запълваща огромна празнина, която съществува в традиционните решения за сигурност, за да осигури защита срещу нарастващо множество от нови ransomware и други злонамерени софтуерни заплахи. CryptoPrevent Malware Prevention е един от първите инструменти за защита от CryptoLocker, и предназначен да предотвратява инфекцията от първата „рансъмуерска“ заплаха, която се появи в края на 2013 г., криптирайки ценни данни на заразения компютър и предлагайки декриптиране срещу заплащане.
      Folder Watch - следи и защитава общите папки от елементи, които съответстват на дефинициите за зловреден софтуер.
      Изпращане на злонамерени файлове - Това ще ви позволи да изпратите злонамерени файлове (които не са в дефинициите за зловреден софтуер), за да ги прегледат, и да бъдат включени в дефинициите по подразбиране.
      HoneyPot Ransomware Protection - Много ефективна за предотвратяване на криптирането на новите и неизвестни рансъмуерни файлове! Когато се открие злонамерена активност, всички несъществени програми се прекратяват, което пречи на зловредния софтуер да продължи да работи.
      KillEmAll v5 Integrations -Въз основа на новата платформа от следващото поколение , KillEmAll v5 позволява бързо прекратяване на несъществени програми, включително злонамерен софтуер и рансъмуер.
       
      Свободната версия е достъпна за изтегляне тук:
      https://www.majorgeeks.com/files/details/cryptoprevent.html
      и тук
      https://www.softpedia.com/get/Security/Security-Related/CryptoPrevent.shtml
       
      Официална страница : https://www.d7xtech.com/cryptoprevent-anti-malware/
       
       
      Trend Micro Ransom Buster

       


      Trend Micro Ransom Buster е приложение за защита на лични файлове от криптиращи програми. За момента приложението е безплатно, но тази оферта ще бъде достъпна за ограничен период от време.
      Основни характеристики на Trend Micro Ransom Buster:
      Лесен за използване - просто избирате папка и Ransom Buster автоматично ще блокира достъпа на неизвестни приложения.
      Интелигентен подход - Ransom Buster автоматично осигурява достъп до популярни приложения като Microsoft Office, което намалява вероятността от фалшиви засичания.
      Гъвкавост при персонализирането - добавете надеждни приложения към белия списък, за да имат достъп до защитените файлове.
      Съвместимост - Ransom Buster работи отлично с основния ви антивирус и добавя още едно ниво на защита.
      Лекота - програмата не намалява производителността на системата и не изисква актуализиране на антивирусни дефиниции.
      Автоматични актуализации -Ransom Buster поддържа автоматични актуализации, за да осигури защита дори от нови типове заплахи.
      Като недостатък бих отбелязал защитата на само 2 папки,след което започват подкани за споделяне с приятели за разширяване на възможностите за протекция.
       
       
      Линк за сваляне : https://ransombuster.trendmicro.com/
       
      OSArmor

      Въпреки че не е строго дефинирана програма за защита от рансъмуер, OSArmor заслужава да бъде спомената в този списък.
      OSArmor е програма за наблюдение и блокиране на подозрителни процеси и действия във Windows. Приложението предпазва системата от заразяване със злонамерен софтуер, криптиране и други заплахи.В сравнение с първата версия,в която опциите за конфигуриране на защитата бяха около 40,то в последната (v1.4.2) правилата са над 250.
      OSArmor прилага правила за интелигентно блокиране, за да предотврати пускането на злонамерени процеси. Този инструмент може да блокира заплахи, които не са открити от инсталираното антивирусно решение. Добавете допълнителен слой защита на системата си, за да предотвратите заразяване с малуер и рансъмуер.
       
      Основни характеристики на OSArmor:
       
      Основна защита срещу експлойти
      Мониторинг на приложения - непрекъснато следи Adobe PDF Reader, MS Office, OpenOffice, браузъри и други приложения.
      Заключване на командния ред(cmd) - програмата блокира параметрите на командния ред, които обикновено се използват от злонамерен софтуер.
      Блокиране на файлове за изтегляне - програмата блокира параметрите на командния ред, които се използват за изтегляне на отдалечени файлове.
      Филтриране на системни процеси - блокиране на wscript.exe, mshta.exe и други процеси, ако показват признаци на злонамерено поведение.
      Блокирането на Schtasks.exe - блокира изпълнението на процеса Schtasks.exe, който често се използва от злонамерен софтуер.
      Правила на PowerShell - блокират изпълнението на кодирани или неправилни команди чрез PowerShell.
      Block RegisterXLL - предотвратява връзки към Application.Excel RegisterXLL чрез командния ред.
      Защита на MS Office приложения - предотвратяване на стартирането на злонамерени процеси в WINWORD.EXE или EXCEL.EXE.
      Блокира USB заплахи - блокиране на изпълнението на процесите, посочени във файловете autorun.inf на USB устройства.
      Защита на скрити копия - блокиране на опити за изтриване на скрити копия на файлове по системни процеси (vssadmin.exe и др.).
      Блокиране .COM или .PIF - блокиране на изпълнението на процеси с остарели .COM или .PIF файлови разширения.
      Блокиране на Bcedit.exe - предотвратяване промяна на критични системни зони от Bcedit.exe.
      Блокиране на Bitsadmin.exe - предотвратяване изтеглянето на файлове от процеса Bitsadmin.exe.
      Svchost.exe и Explorer.exe - блокиране на подозрително поведение, свързано със системните процеси Svchost.exe и Explorer.exe.
      Блокиране на отдалечени скриптове - предотвратяване на изтеглянето и изпълнението на отдалечени скриптове от процесите Regsvr32.exe или Mshta.exe.
      Производителност - програмата използва няколко мегабайта оперативна памет, няма да забележите присъствието й в системата.
      Безплатен продукт - програмата може да се използва абсолютно безплатно както у дома, така и в организации
       
      Линк за сваляне : https://www.novirusthanks.org/get-file/?post_id=272&file_type=setup
       
      Официална страница: https://www.novirusthanks.org/products/osarmor/
       
       
      Acronis Ransomware Protection
       

      Acronis Ransomware Protection следи състоянието на системата, използвайки технологията Acronis Active Protection, и предупреждава потребителя, когато открие подозрителен процес. Можете да разрешите изпълнението на процеса или да го блокирате, ако е неизвестен или несигурен. Може да използвате бял и черен списък за управление на процесите и
      проследяване на действията им в графиката в реално време.
      Въз основа на евристичен подход и технология за машинно обучение, услугата следи процесите и предотвратява неразрешено шифроване на файлове.
      Предпазва от най-новите криптиращи вируси, включително Petya , WannaCry, Osiris и Bad Rabbit.
      Контролният панел Active Protection показва текущия брой анализирани и подозрителни процеси, чието поведение, е подобно на рансъмуерните програми.
      С помощта на функции за управление на процеса можете да разрешите достъп или да блокирате приложения.
       
      Acronis Ransomware Protection ви осигурява и 5 GB облачно съхранение на важни документи. Архивирането на добавените файлове ще се създава
      автоматично на всеки 15 минути.
       
      Сайт на програмата: https://www.acronis.com/en-us/personal/free-data-protection/
      Линк за сваляне : https://download.acronis.com/AcronisProtectionSetup.exe
       
      В заключение няколко думи за защита от криптиращи вируси.Общоизвестна тайна е ,че в света на технологиите за защита, потребителя е от ключово значение. Или с други думи казано-слабото звено в системата.
      Много е писано по темата,особено през последните няколко години,за защита от подобен тип зарази.
      Ето някои основни правила за защита:
      -Поддържайте актуални програмите и Операционната системата
      -Използвайте антивирусна програма. Знам,че сега противниците ще подскочат,но както по-горе споменах вие сте „слабата част в конфигурацията“-грешки винаги може да станат.
      - Правете резервни копия.Това като че ли е едно от най-сигурните решения.
      -Не отваряйте съмнителни имейли
      - Внимавайте какви сайтове посещавате
      - Не отваряйте прикачени файлове в съмнителни съобщения
      -Внимавайте от къде сваляте приложения на вашия компютър. Всичко което не се сваля от официален сайт или изрично посочен от производителя ,може да се смята за потенциално опасно.
      -Ако ползвате безплатен антивирусен продукт,имайте в предвид,че не винаги всички нива на защита са покрити. Използвайте многопластова защита. Така ще затрудните максимално потенциално опасните програми да навредят на вас и компютъра.
       
      Повечето провайдъри предлагат програми за декриптиране.
      Ето някои от тях:
      Avast:
      https://www.avast.com/ransomware-decryption-tools
       
      AVG:
      https://www.avg.com/en-ww/ransomware-decryption-tools
       
      Trend Micro:
      https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor
       
      Kaspersky:
      https://noransom.kaspersky.com/
       
      ESET: https://www.virusradar.com/en/tools/cleaners
      TeslaCrypt
      Virlock
      Crysis
       
       
      Emsisoft:
      https://decrypter.emsisoft.com/
       
      McAfee’ :
      https://www.mcafee.com/enterprise/en-us/downloads/free-tools.html
       
      BitDefender:
       
      https://labs.bitdefender.com/tag/decryption-tool/
       
       
       
      Тук ще намерите списък със декриптори ,препратки,както и инструкции:
       
      https://www.watchpointdata.com/ransomware-decryptors/
       
    • от 7GUea4go8
      Както сигурно сте чели, в първата версия на WanaCry имаше вграден стопиращ механизъм (т.нар. Kill Switch):
      вирусът проверяваше дали може да осъществи връзка към iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и ако да - изпълнението му спираше.
      Поиграх си да деасемблирам новата версия, и въпреки, че познанията ми са доста бегли, успях да намеря начин вирусът да бъде спрян (но не знам до каква степен е приложимо).
      Къде са допуснали грешка:
      При заразяване, както е известно файловете се криптират, и за декриптирането им се иска откуп. Да, обаче какво се случва, ако вирусът се стартира втори път? Файловете се криптират отново, и стават на практика неизползваеми - дори да се плати откуп. За това е въведен механизъм за проверка, който е доста елементарен (но може и да не съм 100% прав!): При първо стартиране вирусът създава файл с име "c.wnry", а ако такъв файл вече има - вирусът не прави нищо.
      Ето една демонстрация:
       
      Факт е, че при второто стартиране - след ръчно създаване на "c.wnry" файловете останаха непокътнати. Доколко това е нещо съществено - не мога да кажа. Но фактът, че вирусът спира и не криптира нищо ако този файл е наличен говори достатъчно. 
      Доколкото забелязах, за да се спре вирусът - файлът трябва да се намира в директорията, в която се намира самият вирус. В моят случай - на Desktop. Поставянето на c.wnry в дадена папка НЕ спира вируса, и той криптира файловете, които са в нея.
      Какво се случва на практика? При стартирането си, вирусът създава файлове (по-точно се саморазархивира) на мястото, където е стартиран, след което - създава c.wnry. Ако обаче  c.wnry вече съществува - не прави нищо повече.
      Дано тази информация е полезна на някой....

    • от Iron Soundz
      Здравейте!
      На 06.01.2015 се сблъксах с един malware или по точно ransomware познат под името CryptoLocker. Появи ми се съобщение, подобно на това:



      Без да се зачета по-подробно в описаното и мислейки че не е толкова проблемен malware, го спрях от Task Manager-a (kill process), след което рестартирах и изчистих всякакви следи от програмата. За съжаление по-късно разбрах че множество от файловете ми са повредени, mp3-ките прескачат, архивите са corrupt-нати, някои документи показват шльокавица, картинки с разширение jpeg показват "невалидно". С други думи corrutp-нати файлове. След като прочетох после за какво става дума, открих това https://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/ по темата и се оказа че този тип малуеър "разбърква" данните, (което може би обяснява защо например mp3-ките прескачат). Намерих в C:\Users следния файл "enc_files.txt", в който открих списък със всичките ми файлове, които са били "криптирани" и вследствие повредени. Операционната система е Windows 7 64 bit Ultimate. Нямам нито backup-и, нито restore points. Опцията "предишни версии" също не помогна ("There are no previous versions available").
      Въпросът ми е: има ли шанс нещо от тези файлове да се върне в предишното си състояние, чрез Recuva или някоя подобна програма за възстановяване на данни ?
      P.S.: Прочетох и темата "CTB Locker and Critroni Ransomware" но там ефектите от зловредния софтуер са малко по-други и нямат много общо с тези от Cryptolocker (не са ми променяни разширения на файлове, антивирусната се пуска без проблем), освен че и двете гадини прецакват данни в хардовете и искат пари за "отключване" или "unscramble" на файловете.
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване