VIRUS CTB-Locker - jak otworzyć pliki?


(Worker23) #1

Witam,

 

Koleżanka na swoim komputerze ma VIRUSA. Objawił się w dosyć wyraźny sposób, a mianowicie zmianą tapety oraz zablokowaniem (zaszyfrowaniem wszystkich dokumentów i zdjęć). Nic niestety z tymi plikami nie potrafię zrobić, aby mogły się prawidłowo otworzyć. Czy jest na to jakiś sposób, czy wszystkie ważne dla niej dane zostały nieodwracalnie utracone? Z góry dziękuję za wszelką pomoc.

Dodam, że system operacyjny komputera to Win8 x64, a zrzuty ekranu dołączam poniżej (tapeta oraz nazwy plików).

 

post-119046-0-94788500-1422082175_thumb.

 

post-119046-0-47966800-1422082185_thumb.


(Fakironmarlinosp) #2

W miarę możliwości:   Uruchom komputer w trybie awaryjnym, pokaż logi z FRST http://forum.dobreprogramy.pl/nowy-log-obowi%C4%85zkowy-farbar-recovery-scan-tool-t478727/,  użyj AdwCleaner 64 bit z opcji szukaj i usuń http://www.bleepingcomputer.com/download/adwcleaner/,    przeskanuj programem Malwarebytes : https://www.malwarebytes.org/ przy instalacji odznacz rozpoczęcie okresu premium,      jeśli nie zadziała, spróbuj wejść w msconfig, i poodznaczać podejrzane elementy z autostartu.


(krypton) #3

Bez klucza deszyfrującego dane przepadły, z tego co pamiętam to nawet policja płaciła za klucz deszyfrujący, jak wirus zaatakował.


(Acorus) #4

Nic się nie da zrobić.


(Psonek) #5

. W internecie znajdziesz poradniki jak usunąc wirusa .Zaszyfrowanych danych nie da się chyba odzyskać  nawet płacząc kasę.


(Worker23) #6

ok, przesyłam logi (również innych programów).

 

http://wklej.org/id/1606793/

 

Po Virusie już raczej śladu nie ma, jednak pliki dalej zaszyfrowane :frowning:

Może jednak ktoś znajdzie na to sposób, bo było kilka istotnych plików docx, na których koleżance bardzo zależy.


(Atis) #7

Nie ma sposobu żeby odszyfrować pliki.

 

Masz kilka punktów przywracania, więc możesz spróbować odzyskać za pomocą ShadowExplorer:

http://www.shadowexplorer.com/documentation/manual.html

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
Winlogon\Notify\igfxcui: igfxdev.dll [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-4138570250-3862393082-1811235637-1001 -> {BE4DDB5A-9E62-4F63-BB8E-473FFA0CDB29} URL = 
2015-01-23 22:41 - 2015-01-23 22:41 - 00000000 ____ D () C:\ProgramData\Doctor Web
2015-01-23 17:37 - 2015-01-23 17:37 - 00000000 ____ D () C:\Users\Magda\Doctor Web
2015-01-19 20:33 - 2015-01-19 20:36 - 00305120 _____ () C:\ProgramData\lzfytwj.html
2015-01-19 20:36 - 2015-01-19 20:36 - 03148854 _____ () C:\Users\Magda\Documents\Decrypt All Files cprsdgi.bmp
2015-01-17 19:20 - 2013-07-08 23:37 - 00000000 ____ D () C:\ProgramData\McAfee
2013-12-06 14:29 - 2013-12-06 14:29 - 0000000 ____ H () C:\ProgramData\DP45977C.lfl
2013-07-08 23:39 - 2013-07-08 23:39 - 0000198 ____ H () C:\ProgramData\Lenovo-1725.vbs
Task: {9D554659-99C2-4767-BEF9-14EDF6408256} - System32\Tasks\Lenovo\Lenovo-1725 => C:\ProgramData\Lenovo-1725.vbs [2013-07-08] ()
Task: {D690C475-B899-4D2F-9AFA-FB2497CAA995} - \plrtoxe No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST


(krypton) #8

Wyłącz komputer i wyciągnij dysk, następnie próbuj programem do odzyskiwania, może coś zostało nie nadpisanego na dysku. ale po grzebaniu w systemie może być z tym źle jak nie bardzo źle. Pierwsza zasada mówi, iż przy utraconych plikach wyłącza się komputer choćby z prądu.


(Worker23) #9

No więc melduje co się dowiedziałem.

Przywracanie systemu nie rozwiązało problemu.

 

Większą skuteczność miał program ShadowExplorer.

Po “wyciągnięciu” plików z 3 różnych dat wstecznych najbardziej istotnego pliku XLS nie udało się otworzyć.

Tak samo z resztą jak większości innych plików. Tylko coniektóre, pojedyncze pliki otwierają sie prawidłowo.

Nic więcej chyba nie wskóram :frowning:

 

Niemniej jedak dziękuję za pomoc i poświęcony mi czas.