Как вылечить все файлы от вируса добавляющего расширение .value?

Question

[kamwork]

Всем привет!
Секретарь открыла письмо, у нее все файлы переименовались, и в них прописалась какая то фигня, при открытии, даже после того как возвращаем расширение все равно остается информация, что нужно отправить СМС и все такое.

Кто то сталкивался? есть подробная инструкция как это победить? Или может кто в режиме тимвьювера может помочь решить проблему?

Answer 1

[Евгений Хлебников]

Как правило, даже антивирусные компании сейчас помочь уже не в силах, поскольку шифровальщики делают невозможной расшифровку без ключа который (может быть) находится у вымогателя.
Если не были включены теневые копии - вы с 99,9% вероятностью можете попрощаться с этими файлами.

Comments

[Владимир Мартьянов]

Как правило те кто так пишут не разбираются в теме вообще никак. А уж упоминание теневых копий - вообще смешно: их трояны отключают и удаляют в две строчки кода.

[АртемЪ]

Владимир Мартьянов: Попытка расшифровать это действительно смешно.
А теневые копии иногда помогают. Все зависит от прав пользователя.
Если у пользователя нет прав на удаление архивных копий - то и шифровальщик ничего с ними не сделает.

[Владимир Мартьянов]

АртемЪ: Вы, простите, сами этого трояна смотрели? Нет. Вот и не говорите ничего о возможности или невозможности пока не посмотрите.

[АртемЪ]

Конкретно этого нет. Они регулярно обновляются и совершенствуются.
Словить старого на ксоре практически нереально.

[Владимир Мартьянов]

АртемЪ: Ну конечно нереально... Каждый день 2-3 новых вариант именно с XOR.

[Saboteur]

Владимир Мартьянов: Владимир, не будьте так самоуверены. Я лично восстанавливал в одной конторе с теневых томов буквально пару недель назад, и как ни странно вирус живший там дня 3, ничего не отключил и не удалил. Восстановилось более 80% файлов.

[Владимир Мартьянов]

Сергей: Я говорю то что вижу регулярно: отключение и удаление теневых копий в энкодерах. И я их вижу каждый день...

[Евгений Хлебников]

0_o. Владимир Мартьянов, чем же вам мой ответ не угодил?
Во-первых, обратите внимание на "как правило". Я вряд ли стал отвечать что способа вообще нет, поскольку отлично осведомлен о старых версиях шифровальщиков, однако надежда, что автор подхватил именно их - ничтожно мала.
Во вторых, вы сами-то троян, который автор вопроса словил, видели, прежде чем давать ему надежду? (и прежде чем наезжать на других пользователей с подобным же вопросом).
И наконец, я не утверждаю, что мой ответ на 100% точен, верен, и других вариантов нет, тем более что ниже есть ваш ответ и ответ LESHIY_ODESSA. Я просто призвал готовиться к худшему.
Будьте менее категоричны, прошу вас.

[Евгений Хлебников]

ах да, теневые копии. На них такая же надежда, что и на вариант с XOR-ом ;)
Но лучше иметь теневые копии, чем не иметь их.

[Владимир Мартьянов]

yellowmew: Тем, что вы говорите "как правило", не имея статистики. Ваши цифры про 0.1% успеха - явная погода на Марсе. У меня этой статистики - тысячи случаев, к сожалению. Проценты удачной расшифровки на порядок выше, даже с учетом совсем безнадежных случаев. Трояна с *.vault я видел и разобрал, разных версий. Автор вопроса подтверждает что это vault, если это новый vault - вероятность расшифровки 90%. И поймите простую вещь: если пользователь даже не попробует расшифровать файлы без обращения к авторам трояна, а сразу пойдет к ним - это спонсирование преступников. И "99.9% что не восстановить" - подталкивание его именно к такому шагу. А у меня с ними свои счеты :-)

Answer 2

[Александр Таратин]

Никак.
На будущее habrahabr.ru/post/101971

Comments

[Владимир Мартьянов]

Если лично вы не можете - не говорите что нельзя никак. Тем более вы даже не смотрели пораженные файлы.

Answer 3

[d'Ivan]

С вымогателями не связывайтесь. Иначе вы будете финансировать ихнюю дальнейшую деятельность.
Обратитесь в антивирусные компании и может даже в полицию.
Вымогатели также могут допустить ошибки в коде из-за чего расшифровка специалистами может быть успешна.

Comments

[nirvimel]

Вымогатели также могут допустить ошибки в коде из-за чего расшифровка специалистами может быть успешна.

Это в сказках. А в реальности полиция допустить ошибки из-за чего деятельность таких вымогателей и антивирусных компаний, состоящих с ними в сговоре, может быть (почти всегда) успешна.

[d'Ivan]

nirvimel: ага, теории конспирации всегда были популярны

Answer 4

[LESHIY_ODESSA]

Вчера же уже было :

vmartyanov.ru
antifraud.drweb.ua/encryption_trojs —> Бесплатная расшифровка данных пользователей

Comments

[Владимир Мартьянов]

value я вообще пока не встречал. Либо это что-то новое, либо это неправильно записанный vault

Answer 5

[Владимир Мартьянов]

Не слушайте этих "экспертов": они понимают в предметной области ровно ничего, тем более они даже не смотрели ваши файлы. Ссылка на форму Dr.Web дана, обращайтесь туда. И да, вы уверены что value, а не vault? Для vault мы вчера расшифровку для почти всех случаев выкатили.

Comments

[kamwork]

Да, скорее всего vault. Так в ДР веб нужна лицензия, на компе она не стоит. Т.е. можно купить и они расшифруют?

[Владимир Мартьянов]

kamwork: Можно купить и МЫ попробуем. Сегодня подбили статистику и сходу расшифровывается в 90% случаях, говорят.

[АртемЪ]

kamwork: Никто вам ничего не расшифрует. Это попросту невозможно.
Раньше были шифровальщики которые не шифровали, использовали банальный ксор- там удавалось восстановить.
Среди современных шифровальщиков такое практически не встречается, шифруют стандартным AES.

[Владимир Мартьянов]

АртемЪ: Не можете вы - не говорите за всех. Если вы не можете придумать схему с использованием AES где расшифровка будет возможна - не говорите глупостей.

[АртемЪ]

Владимир Мартьянов: каким образом вы расшифруете АES не зная ключа?
Или вы научились его ломать? Порадуйте общественность.
Вот весело то будет - этим алгоритмом пользуются банки, шифруют финансовую информацию, им же пользуются для хранения гостайны многие государства.

[Владимир Мартьянов]

АртемЪ: Кто вам сказал "не зная ключа"? Сами придумали, не надо на меня наговаривать. К тому же какой резон радовать общественность, которая в этом ничего не понимает? А пока все думают что алгоритм X неуязвим ни при каких условиях (как вы сейчас и говорите) я буду спокойно расшифровывать файлы.

[mace-ftl]

Ну если сервер с ключами накрыли так и говорите, ессно не в открытый доступ выложить надо, а также людям за бабло только продать )))

[Владимир Мартьянов]

mace-ftl: Поймали троянописателя и я наконец-то отвел душу при помощи молотка! Информация о том как именно работает расшифровка не должна быть опубликована ни при каких условиях.

[mace-ftl]

Владимир Мартьянов: если реально - не вижу разницы между шантажистами которые пишут вирьё, и которые заставляют купить свой антивирь, чтобы расшифровать одни и те же данные.

И коммент топикстартеру - предоплату только не давай комраду, а так всё ок

[Владимир Мартьянов]

mace-ftl: Где кто-то кого-то заставляет? Цитату в студию.

[mace-ftl]

Да, скорее всего vault. Так в ДР веб нужна лицензия, на компе она не стоит. Т.е. можно купить и они расшифруют?
Владимир Мартьянов @vilgeforce
kamwork: Можно купить и МЫ попробуем...
==================
т.е чтобы попробовать условием является покупка...

[Владимир Мартьянов]

mace-ftl: То есть магазины вас тоже заставляют покупать? К доктору.

[mace-ftl]

Владимир Мартьянов: если у меня раз и завтра я умру, и чтобы этого не произошло магазин предлагает купить лекарство - да, заставляют

[Владимир Мартьянов]

mace-ftl: А если вы не купите еду - сдохните через неделю.

[mace-ftl]

Владимир Мартьянов: именно - это типичны шантаж

[Владимир Мартьянов]

mace-ftl: Добро пожаловать в реальный мир, тут за бесплатно еду не дают. И вы за бесплатно тоже не работает, поэтому от шантажистов в магазинах отличаетесь ровно ничем.

[mace-ftl]

Владимир Мартьянов: ты не понял - еду я могу "поймать или вырастить" сам, а вот расшифровать файлы не могу, и ты предлагаешь только вариант с баблом - это стандартный вариант шантажа.

Я же не сказал что это плохо - я сказал что это типичный бизнес - тупые люди не делают бэкапы, а ты хотя бы им шанс даёшь дешевле их файлов вернуть ))) Но за бабло

[Владимир Мартьянов]

mace-ftl: Во-первых ВЫ. Во вторых, раз я сделал расшифровку - почему бы вам не сделать ее самому?

[mace-ftl]

Владимир Мартьянов: Вы уходите от темы - помогите топик-стартеру бесплатно и закроем уже

[Владимир Мартьянов]

mace-ftl: Не говорите что мне делать и я не скажу куда вам пойти.

[mace-ftl]

чтд, бро

[Roman K]

mace-ftl: Еду ты можешь "поймать или вырастить". Данные ты можешь расшифровать так же, для этого просто нужны другие знания. Я не говорю о времени, но объективно это так.
Владимир Мартьянов: Чёт слишком пафосно. И можно поинтересоваться? Для чего требуешь, чтобы называли на "вы"? Самоутверждаешься?

[Владимир Мартьянов]

Roman Kitaev: Это, товарищ школьник, не самоутверждение, а элементарная вежливость. Самоутверждаюсь я путем написания "невозможного", которое тут и пытается обсуждаться.

[Roman K]

Владимир Мартьянов: И чем "вы" вежливей, чем "ты"?

[morgan]

Др веб написал троян шифровальщик и продает всем ключи? Штирлиц как никогда был близок к провалу.

[kamwork]

Владимир Мартьянов: Весьма бурная дискуссия получается. Я не против оплатить лицензию. Но если вы так уверены в расшифровке, давайте я пришлю 2-3 файла, вы подтверждаете, что да, мы их расшифровали, я покупаю лицензию вы расшифровываете остальные файлы на компьютере.

[Владимир Мартьянов]

morgan: Травматологи ночью ломают людям ноги.

[Владимир Мартьянов]

kamwork: Вы присылаете файл и я говорю какая это версия - старая без расшифровки или новая с расшифровкой в 90% случаев. Ниже ссылка на KZ-CERT которым я подтвердил возможность расшифровки.

[kamwork]

Владимир Мартьянов: присылаю по форме ДР веба, указываю ссылку на данный топик? Идет?

[Владимир Мартьянов]

kamwork: Если вы уже присылаете через форму Dr.Web, саппорт сразу начинает заниматься расшифровкой. Ссылки не нужны.

[kamwork]

Владимир Мартьянов: я пока не присылал. Там есть поле о вводе лицензии. Как я выше говорил у меня ее нет.

[morgan]

Владимир Мартьянов: травматологов много а об успехах в расшифровке пока объявил только др веб громогласно. Пока воспринимается в лучшем случае как желание на волне эпидемии поднять денег на лицензиях без гарантий.

[Roman K]

Владимир Мартьянов: Жду тут сижу уж целые сутки, когда Ваше величество объяснит глупейшему смерду, чем "вы" вежливей, чем "ты". Заранее бью челом, не велите казнить.

[sir_Maverick]

Глупый способ повысить продажи бесполезного антивируса из уст не самого успешного продажника налицо

Answer 6

[АртемЪ]

Самое разумное - восстановить данные из бэкапа.
Эти данные зашифрованы, никто кроме тех кто зашифровал не сможет их расшифровать.
Обращаться в антивирусные компании, и прочие места - бессмысленная затея.
В общем три варианта -
1) Восстанавливаем из бэкапа.
2)Платим злоумышленникам и надеемся что помогут.
3)Забываем про данные и обходимся без них.
Других вариантов нет.

Answer 7

[FAN2 tom]

Сколько можно однотипных вопросов задавать?? РЕЗЕРВИРУЙ правильно данные и спи спокойно.

Answer 8

[kamwork]

Владимир Мартьянов давайте решим уже вопрос. Вынесу это отдельно, что бы было у всех на глазах, будет полезно не только мне.

Я присылаю вам несколько файлов, вы тут подтверждаете получение файлов, затем тут же говорите, сможете расшифровать или нет. Если да, я покупаю лицензию, вы расшифровываете файлы на всем компьютере соответственно.

Я оставляю отзыв. Масса довольных клиентов идет к вам.

Повторюсь, не могу загрузить файлы через форму доктора веба, ввиду отсутствия лицензии

Comments

[Владимир Мартьянов]

Еще раз: вы присылаете файлы (а лучше на rghost их) и я говорю какая это версия и каковы шансы на расшифровку. Только по файлам, без сбора информации с вашей машины расшифровать их нельзя.

[kamwork]

Владимир Мартьянов: пожалйста rghost.ru/6YLz22vCZ

[Владимир Мартьянов]

kamwork: Да, это свежий vault. Если шифрование было с 02.11 по 10.11 (включительно) - шансы в районе 90%. Если, конечно, систему не чистили, не переставляли и не занимались прочей самодеятельностью.

[kamwork]

Владимир Мартьянов: снесли вирус, части файлам убрали разрешение которое вирус дал.

[Илья Никифоров]

Владимир Мартьянов: А этот вариант вариант vaul-а поддается расшифровке? rghost.ru/6YxCtBjzk

Answer 9

[Александр Черных]

если бекапов нет, тогда гаплык
https://threatpost.ru/updated-cryptowall-encrypts-...

Answer 10

[morgan]

В некоторых случаях, поскольку среди вирусописателей встречаются ленивые и недалекие сущности, может помочь восстановление удаленных файлов. Recuva или R studio могут помочь в этом случае.

Answer 11

[lnquisitor]

у касперского был сервис, там нужно отправить пример зашифрованного файла, а они дадут лекарство, лицензия не нужна, одному клиенту так лечил с полгода назад, все ок