Вирусология. (Вопросы и ответы)

Здесь обсуждаются различные программы, компьютеры, ноутбуки, операционные системы, связь, компьютерные сети, модемы, смартфоны, сотовые телефоны, цифровое и IP-телевидение и т.д.

Модераторы: Aneta, ru

Аватара пользователя
navigator
Почетный участник форума
Сообщения: 3908
Зарегистрирован: 12 дек 2009 06:15
Откуда: Тобольск

Re: Вирусология. (Вопросы и ответы)

Сообщение navigator » 31 мар 2017 09:30

Кто-нибудь сталкивался с троянцами-шифровальщиками ???? Возможно ли после них зашифрованные доки восстановить ????
Все так боятся стать никем в этой жизни, что становятся кем попало.......

Аватара пользователя
ru
забанен
Сообщения: 5907
Зарегистрирован: 23 июн 2006 08:42

Re: Вирусология. (Вопросы и ответы)

Сообщение ru » 31 мар 2017 10:37

navigator писал(а):Кто-нибудь сталкивался с троянцами-шифровальщиками ???? Возможно ли после них зашифрованные доки восстановить ????
Зависит от того, какой именно способ шифрования использовался вирусом. Для многих троянов-шифровальщиков производители антивирусного программного обеспечения выпускали бесплатные дешифраторы, но последнее время криптовирусы всё чаще используют необратимое шифрование, когда расшифровка невозможна без ключа шифрования, который есть только у создателя вируса.

Аватара пользователя
ru
забанен
Сообщения: 5907
Зарегистрирован: 23 июн 2006 08:42

Re: Вирусология. (Вопросы и ответы)

Сообщение ru » 31 мар 2017 10:40

Какая ОС на компе, где зашифровали? Если было включено теневое копирование тома(volume shadow copy, часто стандартно активировано на серверах и последних Pro-версиях Windows), то есть вероятность восстановить файлы используя вкладку "Предыдущие версии" в свойствах папки. В Windows-8 и Windows-10 эта вкладка появляется только если по сети к ней обратиться.

Аватара пользователя
navigator
Почетный участник форума
Сообщения: 3908
Зарегистрирован: 12 дек 2009 06:15
Откуда: Тобольск

Re: Вирусология. (Вопросы и ответы)

Сообщение navigator » 31 мар 2017 11:41

ru писал(а):Какая ОС на компе, где зашифровали? Если было включено теневое копирование тома(volume shadow copy, часто стандартно активировано на серверах и последних Pro-версиях Windows), то есть вероятность восстановить файлы используя вкладку "Предыдущие версии" в свойствах папки. В Windows-8 и Windows-10 эта вкладка появляется только если по сети к папке обратиться.
Да обычная ХР стоит. Зашифрованы все файлы xls, doc, rft, avi, mp, картинки и фотографии всякие и т.п., хорошо хоть компьютер не в локальной сети с другими машинами......... Вирус я обнаружил и заблокировал, но вот файлы.... Они теперь все переименованы случайным набором символов с расширением " no_more_ransom". Наскачивал утилит для дешифрации (даже с каких то американских сайтов), но пока не получилось ничего, видимо троянец новый какой-то был. Я конечно могу всё нахрен снести отформатировать и установить, но хочется разобраться.
Кстати, особенность данного троянца - он ни под каким предлогом " не хочет" перескакивать на внешние usb-носители (будь то флешка или жесткий диск) если там нет какого-либо установленного софта (хотя бы Linux), уж как я его только не провоцировал....... Из сети попадает первоначально в подкаталог Temp каталога Windows создаёт временные папки в каталогах веб-браузеров и из этих временных папок начинает шифровать....... Ещё "в корне" появляется файл "readme", где написано, что мол после оплаты определённой суммы и отправки на такую-то почту запроса Вам вышлют ключ и утилиту для дешифрации.............
Все так боятся стать никем в этой жизни, что становятся кем попало.......

Аватара пользователя
ru
забанен
Сообщения: 5907
Зарегистрирован: 23 июн 2006 08:42

Re: Вирусология. (Вопросы и ответы)

Сообщение ru » 31 мар 2017 12:02

navigator писал(а): Да обычная ХР стоит..
Печально :( В WindowsXP не было теневого копирования :|
Попробуй еще программами для восстановления удаленных файлов по диску пробежаться(Recuva, R.Saver), но вероятность, что они найдут что-то приемлемое для восстановления низкая.

Аватара пользователя
Дамирыч
Почетный участник форума
Сообщения: 2336
Зарегистрирован: 09 янв 2010 17:59
Откуда: славный град Тоболеск
Контактная информация:

Re: Вирусология. (Вопросы и ответы)

Сообщение Дамирыч » 28 июн 2017 22:53

Найден простой способ борьбы против нового вируса Petya.C

Сотрудники Symantec выяснили, что при заражении компьютера вирус ищет файл, расположенный по адресу «C:\Windows\perfc». Если такого файла нет, то вирус начинает шифрование данных, а если есть — просто прекращает свою работу.
Таким образом, чтобы защититься от вируса Petya пользователю достаточно просто создать соответствующий файл на своём компьютере. Для этого зайдите в папку «Windows» на системном диске «(C:)», нажмите в любом пустом месте правой кнопкой мыши, а затем в появившемся контекстном окне выберите пункт «Создать» и создайте файл с именем «perfc» без расширения. Для этой операции вам потребуются права администратора. Файл также можно создать в любой другой папке, а затем скопировать его в «Windows».
===================================================================
Как защититься от вируса Petya на Windows 7:

• зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;
• в открывшемся окне выберите пункт «Дополнительные параметры»;
• в левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;
• выберите «Для порта» и нажмите «Далее»;
• в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
• нажмите «Далее»;
• в следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;
• примените правило для всех профилей и закончите процедуру;
• аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».

Как защититься от вируса Petya на Windows 10:

• через встроенный поиск Windows введите «брандмауэр» и запустите соответствующую службу;
• в левой панели выберите «Правила для входящих подключений»;
• затем в правой панели нажмите «Создать правило»;
• в открывшемся окне выберите «Для порта» и нажмите «Далее»;
• в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
• в новом окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;
• примените правило для всех профилей и нажмите «Далее»;
• в последнем окне вам нужно указать любое имя для правила и нажать «Готово»;
• повторите всю процедуру для «Правила для исходящих подключений».
С ужасом осознаю, что у меня всё таки доброе сердце.

Аватара пользователя
Дамирыч
Почетный участник форума
Сообщения: 2336
Зарегистрирован: 09 янв 2010 17:59
Откуда: славный град Тоболеск
Контактная информация:

Re: Вирусология. (Вопросы и ответы)

Сообщение Дамирыч » 28 июн 2017 23:07

Энтузиасты создали файл-дешифратор для вируса WannaCry

Приложение Адриена Гине сканирует память пострадавшего компьютера и извлекает ключ непосредственно из системы. Данный ключ хранится лишь до момента первой перезагрузки, а значит эффективная работа утилиты возможна лишь в промежуток между заражением компьютера до его первого отключения или ребута.
Скачать программу: https://github.com/gentilkiwi/wanakiwi/releases
С ужасом осознаю, что у меня всё таки доброе сердце.

Ответить