Вирус зашифровал большое количество данных в папках.

system · 2015-10-14T10:54:13.000Z

Здравствуйте.
У нас на установлена корпоративная версия антивируса Avast Endpoint Protection Suite Plus
Пользователь запустил вирус, в итоге многие файлы (эксель - xlsx, ворд - docx и др.) были зашифрованы и теперь имеют такие названия:
email-777aol777@india.com.ver-CL 1.0.0.0.id-ACEGIJLMNPQRTUVXYAACDEGHJKMNPQRSUVWX-14.10.2015 9@42@172598732.randomname-ACCCDEFGGHHIIJKLLLMNNOPPQQRRST.UUU

файлов большое количество. Посоветуйте, какие действия я могу предпринять для расшифровки данных файлов. Да, Ваш антивирус никак не среагировал на эту угрозу. А вирус преспокойно менял файлы в течении двух часов.

Заранее спасибо.

_George_ · 2015-10-14T12:50:46.000Z

https://forum.avast.com/index.php?topic=168853.0

system · 2015-10-14T15:11:15.000Z

d_bodrov post:1:

Пользователь запустил вирус… Посоветуйте, какие действия я могу предпринять для расшифровки данных файлов. Да, Ваш антивирус никак не среагировал на эту угрозу. А вирус преспокойно менял файлы в течении двух часов.

Пользователь - лох! Так ему и передайте. Нефиг открывать незнакомые файлы от незнакомых людей без предварительного сканирования их антивирусом (сохранить на диск, просканировать, а уж потом открывать - это в случае если от знакомого человека и по делу).
Большинство “юзер френдли” программ, кстати, об этом каждый раз настойчиво предупреждают пользователя (смотрим скрин предупреждения почтовой программы TheBat! ниже), но ни кто не читает что там написано…
Пущай теперь на “своём кошельке” учится компьютерной грамотности.
Никаких действий для РАСШИФРОВКИ файлов вы предпринять не можете. Платить вымогателям не имеет смысла - всё равно обманут, один файл расшифруют, а затем бабло “прикарманят”, а шифровальщик не вышлют.
В общем, сносите систему и по новой ставьте её на свежеотформатированный какой-нибудь фирменной HDD-утилитой в Low Level Format диск (чтобы вообще ни чего на нём не осталось).
Антивирус не НАШ - это не форум разработчика, а форум пользователей, где нет оф. представителей антивирусной лаборатории avast!

Bolenic · 2015-10-14T22:44:33.000Z

d_bodrov

... антивирус никак не среагировал на эту угрозу ...

Часто так и бывает, ведь

... Пользователь запустил вирус ...

vlad98 · 2015-10-15T02:29:17.000Z

https://forum.avast.com/index.php?topic=173988.0

sergofun · 2015-10-15T08:52:04.000Z

Goga 525iA post:3:

В общем, сносите систему и по новой ставьте её на свежеотформатированный какой-нибудь фирменной HDD-утилитой в Low Level Format диск (чтобы вообще ни чего на нём не осталось).

И то есть риск, что во время форматирования вирусы отсидятся на куллере блока питания, а после форматирования снова спрыгнут на винчестер =)

vlad98 · 2015-10-15T11:09:24.000Z

sergofun post:6:

Goga 525iA post:3:

В общем, сносите систему и по новой ставьте её на свежеотформатированный какой-нибудь фирменной HDD-утилитой в Low Level Format диск (чтобы вообще ни чего на нём не осталось).

И то есть риск, что во время форматирования вирусы отсидятся на куллере блока питания, а после форматирования снова спрыгнут на винчестер =)

Неее, обычно они прилипают к внутренним стенкам винчестера, а после опять спрыгивают на винт. Это если не применять “фирменную HDD-утилиту в Low Level Format” ;D

system · 2015-10-16T03:54:35.000Z

Рад что повеселил vlad98 и sergofun.
Но, тем не менее, если тупо всё не “снести”, то вирусня может окопаться в MBR, к примеру, или удалённо скачивать и запускать свою рабочую часть с помощью руткита.
Я говорю не конкркетно про этот вирус, но лучше, от греха подальше, форматнуть всё начисто.

system · 2015-10-16T06:47:04.000Z

а на сайте касперского в разделе “утилиты для лечения” нет ничего подходящего?

например Утилиты для борьбы с Virus.Win32.Gpcode.ak “Утилита может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы и файлы других форматов.”

Если получится то потом все файлы на флэшку, и как писали выше полностью весь диск стереть, желательно выбросить его что бы другие не заразились ;D))))

Еще вроде бы RannohDecryptor умеет такие файлы восстанавливать

vlad98 · 2015-10-16T08:29:29.000Z

karaulov post:9:

а на сайте касперского в разделе “утилиты для лечения” нет ничего подходящего?

например Утилиты для борьбы с Virus.Win32.Gpcode.ak “Утилита может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы и файлы других форматов.”

Если получится то потом все файлы на флэшку, и как писали выше полностью весь диск стереть, желательно выбросить его что бы другие не заразились ;D))))

Еще вроде бы RannohDecryptor умеет такие файлы восстанавливать

Все эти декрипторы от лукавого. Это не более, чем интерфейс для лобовой атаки на зашифрованный файл методом перебора. Если там злодеи пароль не установили типа 123456, то расшифровывать эти файлы еще и внукам топикстартера придётся.

system · 2015-10-19T22:44:06.000Z

Все эти декрипторы от лукавого. Это не более, чем интерфейс для лобовой атаки на зашифрованный файл методом перебора. Если там злодеи пароль не установили типа 123456, то расшифровывать эти файлы еще и внукам топикстартера придётся.

Да ладно? Взять тот же Xorist, который ломается за минут 10-15 при наличии самого шифровальщика. Расшифровка возможна только в том случае, если в шифровальщике есть слабые места, а лобовая атака простым перебором неэффективна. Эти самые слабые места и пытаются атаковать специалисты DrWeb и ЛК. К сожалению, техподдержка Аваста в этом плане бесполезна, т.к. у них просто нет специалистов по криптографии.

Еще вроде бы RannohDecryptor умеет такие файлы восстанавливать

Только самые первые версии этого шифровальщика. Эта версия от июля месяца.

Но, тем не менее, если тупо всё не "снести", то вирусня может окопаться в MBR, к примеру, или удалённо скачивать и запускать свою рабочую часть с помощью руткита.

:D

Давно такой бред не читал.

Announcements