Вирус зашифровал графические файлы
 

Впервые столкнулся с зашифрованными файлами после атаки вируса и похоже принял не совсем правильное решение — сразу переустановил XP, тем более давно собирался. Графические файлы как не открывались, так и не открываются, кроме .bmp. Общаться по поводу отправки денег предлагалось то ли через decryptfiles@gmail.ru, то ли decryptedfiles@gmail.ru (1000 руб.), ни тот, ни другой адрес не проходит. Дополнительные программы Касперского и Доктора не помогли. Источник дряни не знаю: за компом был сын, а он аутист. Может кто-нибудь поможет.

В системе троян создает файл который после оплаты может расшифровать ваши файлы. Этим также пользуются утилиты от антивирусов. а раз вы удалили всё содержимое то эти утилиты вам скорее всего не помогут.

Можете попробовать утилиты для восстановления графических файлов.

Программы восстановления (2 шт.) просто не видят данных для своей работы.

можно попробовать поймать этот же вирус на виртуалке, на которую скинуть граф.файлы, и ввести код разблокировки (на сайте др.веба есть вроде генератор)

Попробуй отправить зашифрованный файл newvirus@kaspersky.com с темой Virus
Может помогут

Спасибо. Уже отправил Касперу и Доктору. После нашел прогу Hetman File Repair. Восстановил несколько файлов, вроде потерь никаких нет. Похоже изменена только служебная информация файла.

У меня такая же ситуация. Тоже пришёл вирусняк родственнику и зашифровал таким образом кроме графических файлов ещё и офисные (doc xls) и тот же адрес указан decryptfiles@gmail.ru, на который просят отправить 1000р, но куда не сказано. Отправил файлы в антивирусную лабораторию DrWeb(являюсь зарегистрированным пользователем) так они ответили следующее -
К сожалению мы не сможем распаковать данные файлы, т.к. шифровщик использует стойкий криптографический ключ. Вот так вот. Чего делать незнаю.

avsash, по идее, идти в пилицию, писать заявление, потом они должны выяснить, чей счёт, отработать владельца, сгребсти с него денег за ущерб и упрятать в тюрьму. Но это россия, так что ничего тут не поможет. Считайте, что у вас внезапно полетел винт, такое же тоже случается, и восстанавливайте файлы из бэкапа.

В общем нашёл доброго человека в сети который помог "раскодировать" файлы. Находится он на сайте ********
Оказывается, этот вирус заменяет первые 5 байт файла.
При помощи любого HEX-редактора их можно скопировать с нормального файла и вставить на место запорченных.
Так самое интересное что в антивирусной канторе нифига этого не просекли и даже не попросили прислать вирус, а тупо сказали что цитирую : "шифровщик использует стойкий криптографический ключ"

avsash, а можно поподробнее как это сделать. Скачал Hex Editor 4.95.06.3477 , а что дальше??? И как быть если ВСЕ doc, PDF, JPG, XLS и пр. файлы также зашифрованы?? Есть ли какой то более менее автоматический способ их восстановления или скрипт??? Очень надеюсь на вашу помощь.

RedWhite, она автоматом ищет и восстанавливает?

Текст письма был:
"ПРИВЕТ! СЕГОДНЯ ТЕБЕ НЕ ПОВЕЗЛО! ТВОИ ФАЙЛЫ ЗАБЛОКИРОВАНЫ! НО ВСЕ НЕ ТАК ПЛОХО! МОЖЕШЬ НАПИСАТЬ ВОТ НА ЭТУ ПОЧТУ decryptfiles@gmail.com И Я ЗА СКРОМНУЮ СУММУ В 100Р ТЕБЕ ВСЕ ВЕРНУ::) ЕСЛИ ТЫ НЕ ВЕРИШЬ МНЕ ЧТО У МЕНЯ ЕСТЬ ХОТЬ КАКОЕ ТО СРЕДСТВО ВОЗВРАТА ФАЙЛОВ МОЖЕШЬ ПОСЛАТЬ МНЕ 1 ЗАБЛОКИРОВАННЫЙ ФАЙЛ Я ЕГО РАЗБЛОКИРУЮ И ДАМ ТЕБЕ НА ПРОСМОТР!"

Ответ Доктора на присланный файл с обоснованием, что проблемы только со служебной областью файла: "Значит, мы не можем расшифровать файлы". Они тупо не хотят этим заниматься. Кстати с адресом я ошибся: decryptfiles@gmail.com. Деньги переводить не стал. Все действительно важные файлы *.jpg, а их я восстановлю до конца этой недели.

kesha333, эта программа восстанавливает битые графические файлы, поэтому ей пох на изменение только служебной области. Но только графику. Вручную.

avsash, Спасибо. Действительно меняешь первые 5 символов в HEXе и все испорченные файлы открываются. Еще бы програмку, а то руками долго.

Программка этого вирусописателя котрая лопатит все файлы и кодирует обратно, за которую товарищ просит 1000 ре у меня есть. Куда лучше её положить? Но используете так же как и я на свой страх и риск. Я сначала проверил на отдельном компе с несколькими файлами. Так же я отсылал её на проверку в Drweb. Ответили что вреда она не нанесёт. В ней указываешь директорию и она медленно, но верно перебирает и восстанавливает файлы. Единственное что желательно не давать ей огромное количество, ибо она подвисать может
Выложил на обменник
http://ifolder.ru/25521189

avsash, спаисбо!
Мне дали такую же вчера на вирус инфо. Действительно подвисает при большом колличестве файлов, что очень не удобно т.к. зашифрованных файлов на обоих дисках куча! Так же приходится нажимать ОК столько раз, сколько подпапок.
Есть ещё вопрос....имеет смысл восстанавливать только личные фотки, документы или в системных папках и в программах тоже все картинки повреждены???
С какими ещё расширениями работает вирус?

kesha333, думаю что только личные имеет смысл восстанавливать. так как остальные файлики типа gif вроде работают, да и вообще система функционирует без проблем. Для меня были критичны только jpg doc и xls - их и восстановил. Остальные вроде не тронуло.

хм....но в списке восстановленных файлов также попадаются HTML HTM
Мне конечно сложно сказать точно т.к. лечу удаленно по телефону, а за компом сидит совсем не опытный пользователь...

И ещё....какое ограничение по колличеству файлов у него??? Никак не установлю закономерность когда он подвисает :(