Доброго времени суток господа. Столкнулся с вирусом CryptoWall 3.0, сам вирус из системы я вытравил а вот вернуть зашифрованные файлы не могу. Все файлы (фотографии) формата .JPG просто не отображаются, пробовал разные декодеры от карсперского и ничего. Подскажите как бороться.
CryptoWall 3.0
#3
Отправлено 04 апреля 2015 - 20:41
Ну расшифровать самому не получится - это в любом случае.
Либо платить, либо забить - зависит от того, сколько просят и насколько важные файлы.
Ну и, конечно, делать бэкапы. Если данные важные (или очень важные) и меняются часто - облако настроить.
Не сидеть на винде.
Вначале делаю, потом думаю
#5
Отправлено 06 апреля 2015 - 09:15
ITbUSS?
если я покажу свои сиськи то ты не отстанешь от них никогда, и я стану в сто раз популярнее всех баб на форуме и язык у тебя прилипнет к бороде)))) Потому что у меня очень роскошный бюст, но я ни за что не нуждаюсь, чтоб на него пялились похотливые ненасытные брюсы; // удалите сообщения с моей синей фоткой где я под феном , я вам другую поставлю)))
#7
Отправлено 06 апреля 2015 - 10:18
По сути, декриптор не перезаписывает сам файл на диске, а создает новый, криптованный, после чего удаляет оригинал и переименовывает криптованный. Т.е. если на диске достаточно свободного места, то велик шанс что-то полезное достать анделитерами.
Это вроде раньше называлось ShadowCopy, и судя по комментам в нете - возможно было этим воспользоваться, а в версии 3.0 вирус принудительно удаляет это всё.
Вначале делаю, потом думаю
#8
Отправлено 06 апреля 2015 - 11:23
Да нет, ShadowCopy - это системная фишка резервного копирования, на нее пологаться особого смысла нет, ибо настройкой точек восстановления никто не заморачивается. Мое предложение воспользоваться спецификой записи данных на носители информации. Этот криптор ведь и большие файлы (видео) криптует, причем, незаметно, не отжирая гигабайты памяти, ибо не зачиывает весь файл целиком, а криптует в потоке параллельно считыванию, т.е. и пишет в другой файл. Соответсвенно, оригинал лишь помечается удаленным, физически он может быть перезаписан лишь системой при записи новых файлов (и чем больше свободного места на диске, тем меньше вероятность что новый файл ляжет по верх затертого) или же инструкциями записи более низкого уровня общения с системой с указаниями куда конретно писать новые данные, как это дефрагментаторы делают, в надежде на то, что создатели этого криптора подобным не заморачивались
#9
Отправлено 06 апреля 2015 - 20:56
Это вроде раньше называлось ShadowCopy, и судя по комментам в нете - возможно было этим воспользоваться, а в версии 3.0 вирус принудительно удаляет это всё.
Не, не в этом дело. Если сам файл стерт, то его блоки просто остаются отмеченными как незанятые.
Есть NTFS uneraser'ы. Но там надо очень шустро действовать. Желательно как только косяк обнаружен (еще от объема журнала в MFT зависит), сразу выключать, сливать с диска образ и с ним уже работать.
-----------------------------------------------------------------------
Ясность - одна из форм полного тумана. Форумчане, давайте жить дружно!
#11
Отправлено 24 апреля 2015 - 16:56
летела жизнь в плохом автомобиле и вылетала с выхлопом в трубу