Перейти к содержимому

Фото
- - - - -

CryptoWall 3.0


  • Вы не можете создать новую тему
  • Please log in to reply
11 ответов в этой теме

#1 Android

Android

    Superb

  • Постоялец
  • 1 061 сообщений
  • Откуда:Таллинн

Отправлено 04 Апрель 2015 - 16:58

Доброго времени суток господа. Столкнулся с вирусом CryptoWall 3.0, сам вирус из системы я вытравил а вот вернуть зашифрованные файлы не могу. Все файлы (фотографии) формата .JPG просто не отображаются, пробовал разные декодеры от карсперского и ничего.  Подскажите как бороться. 

Прикрепленные файлы


  • 0

Работаю в Jarve ITBuss / Digicell OÜ juhatuse liige

Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
58182065 Всеволод


#2 skill-A

skill-A

    Huge Cojones

  • Постоялец
  • 6 711 сообщений

Отправлено 04 Апрель 2015 - 17:11

теперь бэкапы ты будешь делать.


  • 2

улыбнись


#3 Akhenaton

Akhenaton
  • Постоялец
  • 8 041 сообщений

Отправлено 04 Апрель 2015 - 20:41

Ну расшифровать самому не получится - это в любом случае. 
Либо платить, либо забить - зависит от того, сколько просят и насколько важные файлы.
Ну и, конечно, делать бэкапы. Если данные важные (или очень важные) и меняются часто - облако настроить. 
Не сидеть на винде. 


  • 0

#4 Android

Android

    Superb

  • Постоялец
  • 1 061 сообщений
  • Откуда:Таллинн

Отправлено 06 Апрель 2015 - 08:56

Ну раз такое дело отдам обратно комп, расстроим клиента.


  • 0

Работаю в Jarve ITBuss / Digicell OÜ juhatuse liige

Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
58182065 Всеволод


#5 Bruce Wayne

Bruce Wayne

    The Dark Knight

  • Постоялец
  • 2 642 сообщений
  • Откуда:Gotham City

Отправлено 06 Апрель 2015 - 09:15

ITbUSS? :D


  • 1

если я покажу свои сиськи то ты не отстанешь от них никогда, и я стану в сто раз популярнее всех баб на форуме и язык у тебя прилипнет к бороде)))) Потому что у меня очень роскошный бюст, но я ни за что не нуждаюсь, чтоб на него пялились похотливые ненасытные брюсы; // удалите сообщения с моей синей фоткой где я под феном  :D , я вам другую поставлю)))

 


#6 Vitalts

Vitalts
  • Постоялец
  • 1 842 сообщений

Отправлено 06 Апрель 2015 - 09:24

По сути, декриптор не перезаписывает сам файл на диске, а создает новый, криптованный, после чего удаляет оригинал и переименовывает криптованный. Т.е. если на диске достаточно свободного места, то велик шанс что-то полезное достать анделитерами.


  • 2

#7 Akhenaton

Akhenaton
  • Постоялец
  • 8 041 сообщений

Отправлено 06 Апрель 2015 - 10:18

По сути, декриптор не перезаписывает сам файл на диске, а создает новый, криптованный, после чего удаляет оригинал и переименовывает криптованный. Т.е. если на диске достаточно свободного места, то велик шанс что-то полезное достать анделитерами.

Это вроде раньше называлось ShadowCopy, и судя по комментам в нете - возможно было этим воспользоваться, а в версии 3.0 вирус принудительно удаляет это всё.  :(


  • 0

#8 Vitalts

Vitalts
  • Постоялец
  • 1 842 сообщений

Отправлено 06 Апрель 2015 - 11:23

Да нет, ShadowCopy - это системная фишка резервного копирования, на нее пологаться особого смысла нет, ибо настройкой точек восстановления никто не заморачивается. Мое предложение воспользоваться спецификой записи данных на носители информации. Этот криптор ведь и большие файлы (видео) криптует, причем, незаметно, не отжирая гигабайты памяти, ибо не зачиывает весь файл целиком, а криптует в потоке параллельно считыванию, т.е. и пишет в другой файл. Соответсвенно, оригинал лишь помечается удаленным, физически он может быть перезаписан лишь системой при записи новых файлов (и чем больше свободного места на диске, тем меньше вероятность что новый файл ляжет по верх затертого) или же инструкциями записи более низкого уровня общения с системой с указаниями куда конретно писать новые данные, как это дефрагментаторы делают, в надежде на то, что создатели этого криптора подобным не заморачивались


  • 0

#9 Zero

Zero

    TRUST NO ONE

  • Постоялец
  • 9 139 сообщений
  • Откуда:Таллин

Отправлено 06 Апрель 2015 - 20:56

Это вроде раньше называлось ShadowCopy, и судя по комментам в нете - возможно было этим воспользоваться, а в версии 3.0 вирус принудительно удаляет это всё.  :(

 

Не, не в этом дело. Если сам файл стерт, то его блоки просто остаются отмеченными как незанятые.

 

Есть NTFS uneraser'ы. Но там надо очень шустро действовать. Желательно как только косяк обнаружен (еще от объема журнала в MFT зависит), сразу выключать, сливать с диска образ и с ним уже работать.


  • 0
Моя Родина - СССР! Пролетарии всех стран, соединяйтесь!
-----------------------------------------------------------------------
Ясность - одна из форм полного тумана. Форумчане, давайте жить дружно!

#10 NeverBackDown

NeverBackDown

    Ученый

  • Пользователь
  • 451 сообщений
  • Откуда:Ревель

Отправлено 18 Апрель 2015 - 23:10

чем закончилась расшифровка?


  • 0

#11 skill-A

skill-A

    Huge Cojones

  • Постоялец
  • 6 711 сообщений

Отправлено 24 Апрель 2015 - 16:56

http://habrahabr.ru/post/256573/


  • 0

улыбнись


#12 NeverBackDown

NeverBackDown

    Ученый

  • Пользователь
  • 451 сообщений
  • Откуда:Ревель

Отправлено 26 Апрель 2015 - 14:47

Этот шифровальщик на телефоны и планшеты не распространяется?


  • 0