Ярпортал: форум Ярославля | Совместные покупки Объявления Поиск Все вопросы: yaroslavl@bk.ru |
Здравствуйте, Гость ( Вход·Регистрация ) | Сделать Yarportal.Ru стартовой страницей |
|
Страницы: (17) « Первая ... 5 6 [7] 8 9 ... Последняя » ( Перейти к первому непрочитанному сообщению ) |
EWiZaRD |
Дата 3.06.2014 - 08:14
|
||||
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 |
Да не успел просто Вирус создает cptbase.cmd, в котором перечислены все файлы, что будут зашифрованы и начинает его выполнять.
На том компе, что я смотрел, размер cptbase.cmd - 137 мегов Вирус успел зашифровать все файлы на C: (>33000 файлов) и частично на USB диске, к счастью, не успев добраться до сетевого диска. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 09:32 |
||||
blessk |
Дата 3.06.2014 - 09:59
|
Unregistered | |
|
mouseTPAKTOPuCT |
Дата 3.06.2014 - 10:49
|
||||
просто няшка в костюме какашки Профиль Группа: Пользователи Сообщений: 24129 Пользователь №: 41358 Регистрация: 10.09.2009 - 13:03 |
я тебе там всё ответил видимо слишком уж еге на тебя повлияло раз не понял |
||||
fawkes999 |
Дата 3.06.2014 - 11:03
|
||||||
Unregistered |
Да что-то я помню, что по ценообразованию ответили как-раз тебе, выставив полным идиотом А я все жду ящик подобных болванок за 100руб Это сообщение отредактировал fawkes999 - 3.06.2014 - 11:05 |
||||||
|
fawkes999 |
Дата 3.06.2014 - 11:13
|
||
Unregistered |
У меня как-то подобный индивид в ВК хотел два ТТ настоящих купить, собирался по почте заказать А уж вопросов, боевая или нет десятки... Это сообщение отредактировал fawkes999 - 3.06.2014 - 11:14 |
||
|
goom |
Дата 3.06.2014 - 13:46
|
||||||
В желтых штанах Профиль Группа: Пользователи Сообщений: 105 Пользователь №: 100463 Регистрация: 18.03.2012 - 22:04 |
Как говорят, мгновенно изменилось расширение файла, на съемных носителях и раб.столе. Допускаю, что процесс шифрования всё еще запущен. Посмотрим. |
||||||
EWiZaRD |
Дата 3.06.2014 - 14:22
|
||
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 |
Если есть сомнения, лучше перегрузиться. А так, смотреть в %TEMP% наличие svchost.exe (переименованый gpg.exe) и cpD.bin. cpD.bin, похоже, по смыслу, "все уже сделано, запускаться не надо".
jump2 - выход из скрипта cde.cmd |
||
ryab_i4 |
Дата 3.06.2014 - 15:47
|
||
Чатланин Профиль Группа: Пользователи Сообщений: 37 Пользователь №: 66685 Регистрация: 2.02.2011 - 15:19 |
Здравствуйте! У нас диск разбит на 2 раздела, первый раздел мы форматнули (переустановили винду), а на разделе 2 остались зашифрованые нужные файлы, как уже потом выяснилось. Теперь пытаемся найти с помощью R-Studio файлик genkey.cry на первом (форматнутом разделе) и все без успешно И я так понял что без генерации в gnupg по вашему рецепту ничего не получится, не достаточно будет просто найденого genkey.cry? Что посоветуете, ждать дешифратор или еще какой-нибудь выход есть? P.S. платить вымогателям не предлагать, ибо нефиг их кормить. |
||
EWiZaRD |
Дата 3.06.2014 - 16:00
|
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 |
Если genkey.cry такой же, какой был у нас, то его искать не надо. Надо поставить какой-нибудь disk editor (не на тот раздел, на котором будем искать!), я поставил первый попавшийся, HxD Hex Editor, и запустить поиск по диску. Искать строчку unstyx@mail2tor.com, в блоке начинающемся на 0x95 0x01.
Хотя, если переставили Windows (создание большого кол-ва файлов), то шансы невелики. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 16:00 |
ryab_i4 |
Дата 3.06.2014 - 17:09
|
||
Чатланин Профиль Группа: Пользователи Сообщений: 37 Пользователь №: 66685 Регистрация: 2.02.2011 - 15:19 |
Я так понял искать нужно по 2 разделу в самих зашифрованых файлах или по диску 1 раздел, который был отформатирован? И как искать в блоках не понял, в HEX редакторе смещения другого вида (в шестнадцатеричном формате) со строкой все понятно. Текстовая строка? Потом нужен gnupg для генерации? |
||
EWiZaRD |
Дата 3.06.2014 - 18:01
|
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 |
Искать по диску.
Текстовая. Если найдете, то потом gnupg нужен для расшифровки. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 18:04 |
ryab_i4 |
Дата 3.06.2014 - 22:57
|
||
Чатланин Профиль Группа: Пользователи Сообщений: 37 Пользователь №: 66685 Регистрация: 2.02.2011 - 15:19 |
Никак не могу разобраться как в блоках искать и где эти блоки, а диск открыл. Вижу только смещения в шестнадцатиричном, десятичном или восьмеричном виде (переключается). Не понятно как найти эти адреса 0x95 0x01? Я их не вижу нигде. Опыта работы в HEX редакторах не было Воспользовался тоже HxD Hex Editor'ом. Подскажите пожалуйста! |
||
Beirut |
Дата 4.06.2014 - 03:26
|
Yarportal.Ru Профиль Группа: Администратор Сообщений: 202935 Пользователь №: 2 Регистрация: 18.03.2003 - 03:51 |
аж от трех человек пришло письмо.
прочитав первое, пришлось звонить, узнавать. хорошо, что архивированный файл подозрительный. каракулями и мало весит. натурально пишут. "из 5 налоговой", "срочно" он всего лишь файлы блокирует? думал, раз ЦА - офисный люд. пароли от банковских систем ворует |
EWiZaRD |
Дата 4.06.2014 - 07:05
|
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 | |
shoosha |
Дата 4.06.2014 - 09:29
|
Группа умных альпинистов обошла гору Эверест! Профиль Группа: Пользователи Сообщений: 447 Пользователь №: 55108 Регистрация: 1.08.2010 - 18:44 |
Заплатили, прислали ключ, прога вернула все обратно, все расшифровалось, комп перезагрузился, файлы открылись (почти все, но не все, некоторые побились). Осталось вычистить следы пребывания этой гадости, выискать файлы и удалить... прогнать антивирусниками, хотя не поможет.
|
Страницы: (17) « Первая ... 5 6 [7] 8 9 ... Последняя » |
Правила Ярпортала (включая политику обработки персональных данных)