--> Archiwum Forum
Gotman [ Senator ]
Wirus "EnCrYpTeD"
Witam.
Mam problem z wirusem, który zmienił rozszerzenia wszystkich plików na *.encrypted, w związku z czym plików nie da się otworzyć. Wszystko, muzyka, filmy, dokumenty.
W internecie nie ma za bardzo informacji o nim.
Jeśli ktoś zetknął się już z czymś podobnym lub wie jak sobie z tym poradzić to proszę o pomoc i z góry dziękuję.
Pozdrawiam.
gnoll [ Legend ]
Prawdopodobnie dostaniesz maila z szantażem, że jak chcesz klucz do odzyskania plików, to płać ileś tam dolców. Nie wiem czy da się to zdjąć... na przyszłość radzę instalować antywirusa, skąd złapałeś ten syf? Zasysałeś coś z sieci?
Ragnus [ thrash ]
Brzmi conajmniej groźnie
Gotman [ Senator ]
Prawdopodobnie przyszło z sieci. AntiVir był aktywny. Wygląda dość groźnie, ciężko to usunąć.
Joshi aka Endeavour [ Szturman ]
Proponuję zastosować się do tych instrukcji, które napisałem w innym wątku:
Ściągasz ten program i aktualizujesz bazę danych->
Następnie ten program->
Jest to wersja trial, lecz spokojnie wykona swoją pracę.
Kolejny program->
Również wersja testowa pozwalająca na jednorazowe darmowe przeskanowanie komputera i usunięcie zagrożeń. Ten program to istny kombajn.
Teraz po kolei: po wykonaniu powyższych kroków, uruchamiasz komputer w trybie awaryjnym (ang. Safe Mode). Aby to zrobić podczas uruchamiania komputera, kiedy ukazuje się czarny ekran wciskasz klawisz F8, najlepiej kilka razy. Następnie wybierasz opcję by uruchomić tryb awaryjny z możliwością połączenie z internetem. Nie włączaj jednak jeszcze internetu. Modem miej wyłączony lub ewentualnie wyjęty z komputera kabel od internetu.
1. Uruchamiasz anty-wirus który posiadasz na komputerze, po czym skanujesz komputer.
2. Po przeskanowaniu i usunięciu znalezionych zagrożeń uruchamiasz MalwareBytes. Wykonujesz pełne skanowanie.
3. Po przeskanowaniu i usunięciu zagrożeń uruchamiasz TrojanRemover, robiąc to co wyżej.
Gdy pojawi się zapytanie o zresetowania komputera, robisz to. Pamiętaj by znów uruchomić komputer w trybie awaryjnym z podłączeniem do neta.
4. Podłączasz internet i włączasz Hitman Pro. Wybierasz jednorazowe darmowe przeskanowanie, po czym pozwalasz programowi wykonać swoją pracę. Znów usunięcie zagrożeń.
Pozostaje tylko pytanie, czy jeśli wirus zostanie usunięty to pliki powrócą do poprawnego stanu...
mirasek [ Generaďż˝ ]
A cos takiego ja System Restore nie pomoze?
MarcinGS [ Centurion ]
powiedzmy jak masz jakaś aplikacje z tym rozszerzeniem, to spróbuj ręcznie zmienić nazwe na (costam).EXE .
no chyba że ci to ktoś poszyfrował to kapa
Joshi aka Endeavour [ Szturman ]
mirasek po pierwsze przywracanie systemu Windowsa jest klapą. W teorii wygląda to bardzo dobrze, w rzeczywistości daleko temu do ideału. Po drugie jeśli ten wirus jest dobry i "sprytny", jaki zapewne jest wnioskując po tym jak opisał Gotman, to i tak już się "zaszył" w przywracanie systemu, więc jeśli przywrócono by system to wirus też by tam był.
andro24 [ Junior ]
Witam koledzy mam identyczny problem jak u kolegi ktory zalozyl ten temat kazdy z plikow jest szyfrowany EnCrYpTeD po zmianie nazwy plik jest nie do odczytania prosze pomozcie mi
Joshi aka Endeavour ROBILEM TAK JAK KAZALES ZNALAZLO I USUNELO PARE TROJANOW ALE TO NIC NIE ZMIENILIO sorki za caps prosze pomozcie
MarcinGS [ Centurion ]
Takim czymś się zajmuje policja .
na Policji Ci odszyfrują wszystkie pliki, a autora numeru zgarną ; )
Joshi aka Endeavour [ Szturman ]
andro24 wejdź w "Start", a następnie w "Uruchom" wpisz msconfig. W zakładce "Uruchamianie" powyłączaj wszystkie podejrzane procesy. Następnie w "Uruchom" wpisz regedit, i dojdź do następującego folderu: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Pousuwaj wszystkie podejrzane procesy mając pewność że nie są to procesy systemowe, w przeciwnym razie możesz zepsuć sobie system. Po tej czynności kliknij na inny folder i ponownie na ten sam, by upewnić się że zainfekowany proces (jeśli takowy był) nie powrócił.
andro24 [ Junior ]
Joshi aka Endeavour ja nic podejrzanego nie widze zreszto powiedz mi co mam usunac bo za bardzo sie nie znam na tym ktore sa systemowe
Joshi aka Endeavour [ Szturman ]
Nie ma sensu tego tłumaczyć na łamach forum. Najlepiej napisz do mnie na GG, nr masz podany w profilu.
Pawlo94 [ Illusive Man ]
ja mam pytanie z innej paki jakim cudem działa ci przeglądarka skoro wszystkie exe to en.. cośtam. Szczerze nigdy o takim czymś nie słyszałem, ale takie wirusy próbują wyłudzić kasę najczęściej. Jeżeli nie masz nic ważnego na kompie to zawsze możesz walnąć formata.
Joshi aka Edeavour jeżeli to jest dobrze zrobiony wirus to nie da się killnąć w procesach
DanuelX [ Generaďż˝ ]
Szanse na złamanie hasła (odkodowanie) są praktycznie 0rowe. Przeważnie w takich wirusach stosuje się wysoko-bitowe algorytmy szyfrujące. Sformatować dyski wywalić wszystkie wykonywalne pliki, zainstalować czystego windowsa, zabezpieczać się na przyszłość.
andro24 [ Junior ]
Joshi aka Edeavour rozwiazal problem serdecznie dziekuje
Joshi aka Endeavour [ Szturman ]
Pisałem już z andro24 na GG. Poczytałem to i owo na internecie. Niestety zablokowanych plików już się odblokować nie da. Można podobno próbować przywrócić co niektóre pliki jakimś programem, ale jak wiadomo skuteczność będzie mała. Co ciekawe w przypadku andro zainfekowało tylko pliki na jednej partycji. Systemowa została nie naruszona.
Bardzo nieprzyjemny wirus. Usunąć go można sposobem jaki podałem w poście [5], szkód jakie wirus pozostawia niestety naprawić się nie da...
Adrianziomal [ Samael ]
A można "zablokować" niektóre ważne pliki? Tzn nie chodzi mi o ustawienie opcji "read only" bo to każdy wirus może obejść. ;)
down - Wiesz co? Nie wiedziałem... -.-
DanuelX [ Generaďż˝ ]
Zrobić kopie na dvd :P
Gotman [ Senator ]
Wybaczcie, że z takim opóźnieniem.
ad. mirasek:
Wypróbowane - nie działa.
ad. Pawlo94:
Nie wszystkie pliki są zarażone, jednak na jednej partycji jest ich ogromna większość. Filmy, zdjęcia, dokumenty, muzyka - wszystko zaszyfrowane.
Tak jak ktoś pisał - to jest raczej wirus ciężkiego kalibru, algorytm szyfrujący jest w zasadzie nie do złamania w przypadku indywidualnego użytkownika.
Ale jeśli ktoś wie bądź natknął się na rozwiązanie, to będzie bardzo miło :)
Joshi aka Endeavour [ Szturman ]
Ale jeśli ktoś wie bądź natknął się na rozwiązanie, to będzie bardzo miło :)
Niestety, wyjście jest tylko jedno. Sformatowanie partycji która została zainfekowana, a następnie zastosowanie kroków które podałem w poście [5] by upewnić się że wirus został usunięty.* Przed formatowaniem dysku możesz spróbować przywrócić najważniejsze pliki za pomocą tego oprogramowania->
Na dzień dzisiejszy nie da się, powtarzam- nie da się odszyfrować zainfekowanych plików.
* Ewentualnie kompletny format kompa i reinstalacja systemu, jednak nie jest to konieczne.
czeslawek69 [ Junior ]
Cześć, niestety ja również doświadczyłem tego wirusa kilka dni temu, wszystko tak samo jak powyżej opisaliście, próbowałem pozbyć się wirusa na podstawie posta 5 ale w sumie wykryło mi tylko kilka cooki, jak na razie wstrzymam się z formatem bo mam sporo niezabezpieczonych w inny sposób ważnych dokumentów i postaram się w najbliższych dniach poradzić jakiś specjalistów o ile takich też u siebie znajdę.
Storm [ Hardstyler ]
Dobry był przynajmniej ten pornus?
Joshi aka Endeavour [ Szturman ]
czeslawek69
Chodzi właśnie o to że wirus za pomocą metody podanej przeze mnie zostanie usunięty, ale plików rozszyfrować się nie da. Więc powtórzę Ci jeszcze raz: jeśli masz kilka partycji (minimum dwie), a partycja systemowa nie została zainfekowana, wystarczy że sformatujesz partycje na których pliki zostały zainfekowane oraz przeskanujesz po tym komputer, tak jak to opisałem w poście 5.
HETRIX22 [ PLEBS ]
Pozostaje pytanie, skąd macie tego groźnego wirusa?
czeslawek69 [ Junior ]
no właśnie skąd się to wzięło to ja nie wiem
Adrianziomal [ Samael ]
[23]
Hehe... A może to coś innego było? ;)
legrooch [ MPO Squad Member ]
Nie ma na tego wirusa żadnego lekarstwa póki co, poczytajcie w necie.
A szyfrowanie kilobitowe skutecznie eliminuje możliwość złamania klucza na najbliższy czas - zwłaszcza, że klucz jest losowany :]
Ile wyjdzie łamanie 1000b RSA? 30 lat?