Как восстановить после вируса covsssss.exe?

Была атака вируса covsssss.exe и covsssss.exe//UPX. Винда server 2003 R2 enterprise x64. Этот вирус повредил все файлы ворда и екселя, а так же все базы 1с 8 и семерки файлы .MD и .DBF. Добавил расширение .cov и создал текстовый файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" а в нем такой текст.

Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нами по email: niomoney@ya.ru

У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

Антивирус Касперский для сервера версии 6. Вирус он конечно же задушил, но вот файлы восстановить так и не получилось. При удалении расширения .COV пишет, что все равно файл разрушен. Можно конечно восстановить из хранилища файлы вируса, но как то страшно что опять вирус будет активен.

Я решил написать на почту этому человеку и получил такой вот ответ:
"никаких гарантий, кроме моего слова, а програмка уже была/есть на вашем пк - она используется для шифровки и дешифровки, но высылаю т.к 95% ее удаляют антивирусами
а расшифровка возможна лишь с помощью програмки+код".
  • Вопрос задан
  • 5260 просмотров
Решения вопроса 1
Scarfase1989
@Scarfase1989 Автор вопроса
Вот инструкция Drweb:

Файлы зашифрованы троянцем семейства Trojan.Encoder.94
Расшифровка возможна.

Для расшифровки требуется новейшая версия нашей утилиты te94decrypt
(во всяком случае не ниже версии v.1.7.27)
Актуальную версию te94decrypt скачайте по ссылке
ТУТ

Запускать её в вашем случае нужно с параметром комстроки -k 415 , т.е. так :
te94decrypt.exe -k 415
// расшифровывать файлы на всех дисках
или так:
te94decrypt.exe -k 415 -path D:\Path
// расшифровывать файлы только в каталоге D:\Path

Расшифровка идет в новые файлы; по принципу :
"документ.doc.cov" (зашифрованный) => "документ.doc" (расшифрованный)
На диске, соответственно, потребуется свободное место, равное общему объему зашифрованных файлов.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@q-zar
Шифровальщик. Просит денег. Контакт niomoney@ya.ru.
После оплаты дали пароль oPS9F7Urpqlp5ufyf4B95Lg3M4UPU.
При запуске копирует себя в темп под именем S3Rf5cWJf0B87Tq.exe и в реестре ставит на автозагрузку, также шифрует все доступные файлы как на локальном диске, так и на сетевых. Добавляет расширение .Zew к зашифрованным файлам. При последующих запусках, проверяет наличие себя в темпе, после этого предлагает ввести пароль. После ввода пароля все расшифровывает и удаляет себя из темпа!
Ответ написан
Комментировать
sashablashenkov
@sashablashenkov
Посмотрите сюда, может и поможет
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы