Superb
Отправлено 04 апреля 2015 - 16:58
Доброго времени суток господа. Столкнулся с вирусом CryptoWall 3.0, сам вирус из системы я вытравил а вот вернуть зашифрованные файлы не могу. Все файлы (фотографии) формата .JPG просто не отображаются, пробовал разные декодеры от карсперского и ничего. Подскажите как бороться.
HELP_DECRYPT.PNG 44,63К
0 Количество загрузок
Работаю в Jarve ITBuss / Digicell OÜ juhatuse liige
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
58182065 Всеволод
Huge Cojones
Отправлено 04 апреля 2015 - 17:11
теперь бэкапы ты будешь делать.
летела жизнь в плохом автомобиле и вылетала с выхлопом в трубу
Отправлено 04 апреля 2015 - 20:41
Ну расшифровать самому не получится - это в любом случае.
Либо платить, либо забить - зависит от того, сколько просят и насколько важные файлы.
Ну и, конечно, делать бэкапы. Если данные важные (или очень важные) и меняются часто - облако настроить.
Не сидеть на винде.
Вначале делаю, потом думаю 
Superb
Отправлено 06 апреля 2015 - 08:56
Ну раз такое дело отдам обратно комп, расстроим клиента.
Работаю в Jarve ITBuss / Digicell OÜ juhatuse liige
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
58182065 Всеволод
The Dark Knight
Отправлено 06 апреля 2015 - 09:15
ITbUSS? 
если я покажу свои сиськи то ты не отстанешь от них никогда, и я стану в сто раз популярнее всех баб на форуме и язык у тебя прилипнет к бороде)))) Потому что у меня очень роскошный бюст, но я ни за что не нуждаюсь, чтоб на него пялились похотливые ненасытные брюсы; // удалите сообщения с моей синей фоткой где я под феном , я вам другую поставлю)))
Отправлено 06 апреля 2015 - 09:24
По сути, декриптор не перезаписывает сам файл на диске, а создает новый, криптованный, после чего удаляет оригинал и переименовывает криптованный. Т.е. если на диске достаточно свободного места, то велик шанс что-то полезное достать анделитерами.
Отправлено 06 апреля 2015 - 10:18
По сути, декриптор не перезаписывает сам файл на диске, а создает новый, криптованный, после чего удаляет оригинал и переименовывает криптованный. Т.е. если на диске достаточно свободного места, то велик шанс что-то полезное достать анделитерами.
Это вроде раньше называлось ShadowCopy, и судя по комментам в нете - возможно было этим воспользоваться, а в версии 3.0 вирус принудительно удаляет это всё. 
Вначале делаю, потом думаю
Отправлено 06 апреля 2015 - 11:23
Да нет, ShadowCopy - это системная фишка резервного копирования, на нее пологаться особого смысла нет, ибо настройкой точек восстановления никто не заморачивается. Мое предложение воспользоваться спецификой записи данных на носители информации. Этот криптор ведь и большие файлы (видео) криптует, причем, незаметно, не отжирая гигабайты памяти, ибо не зачиывает весь файл целиком, а криптует в потоке параллельно считыванию, т.е. и пишет в другой файл. Соответсвенно, оригинал лишь помечается удаленным, физически он может быть перезаписан лишь системой при записи новых файлов (и чем больше свободного места на диске, тем меньше вероятность что новый файл ляжет по верх затертого) или же инструкциями записи более низкого уровня общения с системой с указаниями куда конретно писать новые данные, как это дефрагментаторы делают, в надежде на то, что создатели этого криптора подобным не заморачивались
TRUST NO ONE
Отправлено 06 апреля 2015 - 20:56
Это вроде раньше называлось ShadowCopy, и судя по комментам в нете - возможно было этим воспользоваться, а в версии 3.0 вирус принудительно удаляет это всё.
Не, не в этом дело. Если сам файл стерт, то его блоки просто остаются отмеченными как незанятые.
Есть NTFS uneraser'ы. Но там надо очень шустро действовать. Желательно как только косяк обнаружен (еще от объема журнала в MFT зависит), сразу выключать, сливать с диска образ и с ним уже работать.
Ученый
Отправлено 18 апреля 2015 - 23:10
чем закончилась расшифровка?
Huge Cojones
Отправлено 24 апреля 2015 - 16:56
летела жизнь в плохом автомобиле и вылетала с выхлопом в трубу
Ученый
Отправлено 26 апреля 2015 - 14:47
Этот шифровальщик на телефоны и планшеты не распространяется?
