Malvare uszkadzający pliki i zmieniający ich rozszezenia na .xyz

marson1 · 16 Czerwiec 2015 12:45

Witajcie

Dostałem komputer, który ma zainstalowanego jakiegoś syfa, który zmienia rozszerzenia wielu plików np. na .doc.xyz, .xlsx.xyz, zip.xyz itp. przy zmianie rozszerzenia ręcznie na prawidłowe pojawia się komunikat o uszkodzonym pliku przy próbie jego otwarcia, czy da się coś z tym zrobić? Niestety nie mogę w tej chwili podesłać raportu z FRST bo nie mam netu podpiętego na tym kompie, nie mam pena ani nic gdzie mógłbym to zgrać. Jednak może ktoś spotkał się z podobnym objawem i wie chociaż czy z samych plików coś da się wyciągnąć? Są to bardzo ważne dane i niestety komputer działa pod kontrolą XP… mnie nie pytajcie ja wiem, że to idiotyzm no ale… może da się pomóc?

spandaupol · 16 Czerwiec 2015 12:57

Raporty konieczne aby zobaczyć czy infekcja jest aktywna. Jeśli tak powinno się ją najpierw usunąć.

Zobacz http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/

https://noransom.kaspersky.com/

marson1 · 16 Czerwiec 2015 14:30

Niestety, nie znam adresu BTC do wpisanaL ja dostałem kompa już z zaszyfrowanymi plikami jak wnioskuję z Twojej odpowiedzi a cryptlocker unlocker nie znajduje adresu w swojej bazie, dodam, że problem występuje gdzieś od poniedziałku więc to świerza sprawa, logi podeślę jutro, ponieważ nie jestem już w firmie a to tam jest ten komputer. Mam natomiast same pliki, jeśli można je jeszcze próbować przepuścić przez jakieś narzędzie to pomóżcie.

krypton · 16 Czerwiec 2015 14:31

poszukaj jakiegoś pliku .txt.xyz i zobacz zawartość w notatniku. Najprawdopodobniej wirus zaszyfrował pliki.

marson1 · 16 Czerwiec 2015 15:24

Tak pliki są zaszyfrowane, na dysku znalazłem coś takiego:

--------------------------!!!-------------------- ALL your documents, photos, databases and other important files have been encrypted with strongest encryption RSA-2048 key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. If you see the main encryptor red window, examine it and follow the instructions. Otherwise, it seems that you or your antivirus deleted the encryptor program. Now you have the last chance to decrypt your files. Open in your browser one of the links:https://sub1.pillspharm24.com/http://fdsa1re367hs64a.ase4wrfsdfg9.comhttps://gzc7lj4rvmkg25dm.tor2web.blutmagie.de They are public gates to the secret server. Copy and paste the following Bitcoin address in the input form on server. Avoid missprints. 12Tpnvt8GLZMxkM3oNw6HDzvsHjbfkyghB Follow the instructions on the server. If you have problems with gates, use direct connection: 1. Download Tor Browser from http://torproject.org 2. In the Tor Browser open the http://gzc7lj4rvmkg25dm.onion/ Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable. Copy and paste the following Bitcoin address in the input form on server. Avoid missprints. 12Tpnvt8GLZMxkM3oNw6HDzvsHjbfkyghB Follow the instructions on the server. Wiadomo co to za kretyństwo?

spandaupol · 16 Czerwiec 2015 15:38

Niestety nie ma żadnej gwarancji, że odzyskasz pliki

Na przykład http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information

marson1 · 16 Czerwiec 2015 16:07

dzięki - to, że pisałem, że nie znam BTC do wpisania bytło zanim znalazłem ten plik z informacją.

spandaupol · 16 Czerwiec 2015 20:57

No OK, ale to znaczy, że po użyciu narzędzia http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/ nie odzyskałeś plików, czy czekasz na dostęp do komputera i wtedy to zrobisz.