Как восстановить и расшифровать файлы после вируса vault, вот такая бида... Опции

[stopka]

Вообщем заразился вирусом... все документы на компьютере зашифровались. За востановления просят 540 долларов.

В интернете толкового ничего не нашел... может кто сталкивался???

[_R_]

Вообщем заразился вирусом... все документы на компьютере зашифровались. За востановления просят 540 долларов.

В интернете толкового ничего не нашел... может кто сталкивался???

попробуй Dr.Web®

В любом случае тебе антивирус нужен и желательно запусти его с USB а не с компа, Winda скорей всего тоже с сюрпризом

[Nazgul]

Вообщем заразился вирусом... все документы на компьютере зашифровались. За востановления просят 540 долларов.

В интернете толкового ничего не нашел... может кто сталкивался???

Письмо счастья получили?
Ключ лежит где-то в нете на серваке. Ну и никто не даст гарантии, что он подойдет. Либо даже восстановив, нет гарантии на то, что через 10 дней шифровальщик не заработает опять.
Лучшее лекарство - бэкапы.
Ну и антивирус обновляйте - даунлодер же подцепили.

[BANDIT(filmmaniac)]

Инструкция - http://forum.0day.kiev.ua/index.php?showtopic=85004

[Nazgul]

попробуй Dr.Web®

В любом случае тебе антивирус нужен и желательно запусти его с USB а не с компа, Winda скорей всего тоже с сюрпризом

Тут антивирус не поможет уже.

[Starscream]

Только полная переустановка с форматом винтов и потерей всех защифрованных данных. Ну или рискнуть и заплатить.
В этом году уже 3 раза сталкивался с подобным на работе, в прошлом 2 раза. Антивирусы уже не помогут.
Производители антивирусов заявляют, что скоро смогут решить эту проблему, но их же сотрудники на их же форумах смеются с этих заявлений.
Потому на будущее внимательнее следите за тем что Вам приходит по почте и делайте резервные копии.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.
http://habrahabr.ru/company/eset/blog/248987/

[stopka]

Беда...
Ну что ж, Одеевцы! Очередной раз предупреждаю, не открывайте левые письма на своих ящиках.
Касперыч 2015 никак не отреагировал на этот вирус.

[Huwk]

Очень жестко конечно.
Киньте в тему пример письма, если не сложно.

[Banish]

Беда...
Ну что ж, Одеевцы! Очередной раз предупреждаю, не открывайте левые письма на своих ящиках.
Касперыч 2015 никак не отреагировал на этот вирус.

А в письме было какое-то вложение или просто текстовое?

[Spectral]

Сними бинарный образ винта на всякий. Как появится дешифровщик - восстановишь.

Сообщение отредактировал Spectral - Oct 30 2015, 11:26

[stopka]

Очень жестко конечно.
Киньте в тему пример письма, если не сложно.

Та удалил я его сразу.

В теме было написано "Пересылаю вам акт выполненных работ"

В тексте письма было всё по делу вот, мол работы выполнены, вот вам акт. Жду подтверждения и тд.
Фирма левая, адреса я такого не знал.
Но специфика моей работы такая что акты мне могу приходить часто.
Ну и плюс кто-то мог дать мою почту для получения того же акта.

Во вложении был файл "акт0000.zip" а в нём один вордовский файлик, меня ещё смутило что кто-то зипом пользуется, и зачем архивировать один файл... но я всё равно открыл...

Вот такая история...

Сообщение отредактировал stopka - Oct 30 2015, 11:39

[claus]

Во вложении был файл "акт0000.zip" а в нём один вордовский файлик, меня ещё смутило что кто-то зипом пользуется, и зачем архивировать один файл... но я всё равно открыл...

Файл точно вордовский или таки с расширением .js? Была аналогичная ситуация, запороленный zip-архив в письме от известной конторы. Оказалось их взломали, но предупреждение от них пришло запоздало - 2 бойца успели открыть и накрыло всю сетку. Из бэкапов конечно восстановили, но часть конфеденц-инфы была безвозвратно потеряна. Пытались дешифровать и всевозможными утилитами, и через касперовскую и веберовскую службы поддержки и силами конторских умельцев, но безрезультатно, хотя вроде бы были все условия - оригинальный файл и шифрованный.

Интересный факт - файлы содержавшие в названиях украинские буквы были зашифрованы отдельными файлами, оставив оригиналы не тронутыми. Мова рулит! Может это происки Фарион?

[Starscream]

Сними бинарный образ винта на всякий. Как появится дешифровщик - восстановишь.

Я бы сказал, ЕСЛИ появится.

меня ещё смутило что кто-то зипом пользуется

Та много кто им пользуется - белые компании, в которых весь софт - лицензия, а покупать то, что можно заменить бесплатными аналогами никто не будет.
Но действительно странно что .zip был, в моем случаи были .js и .scr, хотя бывали случаи, что пользователи и .exe с почты открывали)

[antonio2000]

Сталкивался с таким. 1е что нельзя делать антивирем удалять сам вирус(тока в карантин отправлять).
Еще есть вариант попробывать восстановить удаленные файлы.
насчет самого письма там 2 расширения типа проект.zip.exe
и у самого файла пикктограмма типа это zip овский файл.

[Morftimg]

Сталкивался с таким. 1е что нельзя делать антивирем удалять сам вирус(тока в карантин отправлять).
Еще есть вариант попробывать восстановить удаленные файлы.
насчет самого письма там 2 расширения типа проект.zip.exe
и у самого файла пикктограмма типа это zip овский файл.

Не катит он заменяет файлы восстановление не помогает.

Сам попадал на такое два раза 1 раз инфа была безвозвратно утеряна. Второй раз пацаны из доктора веба помогли. Отправил им зараженный файл, пробовали вместе раз 5 разные дешифровщики и на 5 раз удалось раскрутить файлы.

И как писали выше лечить комп нельзя!!! Потому как ключ был вшит в сам вирус и только оттуда его стало возможно выковырять.

Сообщение отредактировал Morftimg - Oct 30 2015, 19:32

[Электрик]

Интересный факт - файлы содержавшие в названиях украинские буквы были зашифрованы отдельными файлами, оставив оригиналы не тронутыми.

Терміново перейменовуємо всі особисті файли українськими буквами

[claus]

Терміново перейменовуємо всі особисті файли українськими буквами

Достаточно добавить хотя бы одну

И как писали выше лечить комп нельзя!!! Потому как ключ был вшит в сам вирус и только оттуда его стало возможно выковырять.

С тем что я столкнулся лечение было уже бесполезно - вирус приперезагрузке системы самоликвидировался. Я его тело смог выловить только на тестовой машинке.