Вирус изменил кодировку файлов
Обновлено: 03.07.2024
Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.
Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных !
Вам необходим раздел который посвящен отправке файлов вирлабам для подбора лекарства (от себя посоветую обратиться именно в drweb, они оперативно работают). Отправьте им несколько зашифрованных файлов + ссылку на вредонос + что требовал вымогатель).
Смотреть логи нет смысла, acronis уже все сделал за нас. Что ответит вирлаб опубликуйте, пожалуйста.
kaatmiin
Новый пользователь
DrWeb не помог. А вымогатель ничего потребовать не успел, вирус был удален до полного завершения своей работы. Удалось сохранить процентов 10 фотографий.thyrex
Это RectorRSAБез оригинального дешифратора не обойтись. А он в вирлабы так и не попал
kaatmiin
Новый пользователь
Dr Web ответил (зашифрованный и не зашифрованный файлы им посылались):Файлы зашифровны одним из новых вариантов троянской программы Trojan.Encoder.102
К сожалению, на данный момент у нас нет способа их расшифровать.
Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.
Cуществует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.102, без их расшифровки
(расшифровка без приватной половины ключевой пары невозможна).
Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102 вносит в файл относительно немного изменений.
И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.
При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls , в которых после реконструкции могут измениться данные на первых старницах.
Было написано 100 , а станет 500 - такое запросто может случиться.
В вашем случае нужна новейшая версия te102decrypt (не ниже версии 1.4.3.0)
Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого она надеется выполнить осмысленную попытку восстановления,
будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл.
В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls
Не более того.
docx/xlsx/pptx эвристическому восстановлению (без полноценной расшифровки) не поддаются.
(я думаю, никакими recovery-утилитами такое не чинится).
С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
Читайте также: