Wirus zmieniający rozszerzenie pliku

[toporminator]

Witam

Mam następujący problem:

Posiadam dysk WD 1TB (zewnętrzny) i używam to czasem na PC czasem na netbooku. Wczoraj przy korzystaniu z netbooka musiałem coś złapać, gdyż pliki o rozszerzeniach .jpg .rar i różnie formaty plików MS Office zmieniły się, po np: "zdjęcie001.jpgDONATEAFRICA@YEAH.NETSOS1285"

Pliki niezdanie są do użycia i niestety felerny wirus zainfekował mi cały dysk zewnętrzny podłączony do netbooka.

Przy następnym uruchomieniu tegoż netbooka pojawił mi się na ekranie obrazek z tekstem w czterech językach w których uświadomiono mi że pliki zostały zaszyfrowane i jeśli chce je odzyskać mam płacić, kontaktując się przez maila...

Skanując dysk zewnętrzny Avastem nic mi oczywiście nie wykryło, także najnowszy Dr.Web zainfekowanych plików nie ruszył. Natomiast Win7 na netbooku wykrył wirusa o nazwie "kelihos.F"

O netbooka praktycznie się nie martwię, mogę bez żalu postawić nowego Windowsa, bardziej martwią mnie tysiące zablokowanych plików na dysku zewnętrznym. Czy Jest na to jakaś rada? Proszę o pomoc jak mógłbym odzyskać pliki?

[gucek012]

Po pierwsze spróbuj przeskanować komputer jakimś dobrym antywirusem jeżeli nie zadziała to ja mogę doradzić przywracanie systemu ale nie wiem czy to zadziała bo nie znam się zbyt dobrze na tych sprawach.

[MikaelDorren]

@gucek012:

Skoro za bardzo się w temacie nie orientujesz, to nie udzielaj porad.

Wszystkim radzę zajrzeć tutaj - http://forum.cdaction.pl/index.php?showtopic=206783

[enderczek]

Mi się wydaje, że pliki wcale nie są zaszyfrowane i wystarczy zmiana rozszerzernia na oryginalny i będą działały. Może jest jakiś program który zrobi to hurtowo? Ale i tak większość ręcznie będziesz musiał zmienić.

Spróbuj sam zmienić ręcznie rozszerzenie jednego z plików. Upewnij się, że wirusa już usunąłeś.

[toporminator]

Oczywiście że tego próbowałem, ale po zmianie nazwy (system ponownie rozpoznaje plik jako np .jpg) i próbie otwarcia pojawia się "nieprawidłowy plik" itp. Archiwa .rar są uszkodzone, a plików Office nie można odczytać.

[noniewiem]

Może to pomoże.

http://www.selectrea...move-ransomware

Co ciekawe, w innym temacie (http://answers.micro...a7-cb1032a1a726) znalazłem możliwe rozwiązanie:

1. Open Windows Explorer (or "Computer").
   
2. Navigate to the folder that holds the missing pictures.
   
3. Right-click the folder name.
   
4. Left-click "Restore previous version".
   

Na razie tyle, ale postaram znaleźć się więcej.

EDIT

Znalazłem jeszcze to. Ponoć Panda ma jakiś program do dekryptowania.

http://www.pandasecu...rt/card?id=1675

Ale generalnie przygotuj się na to, że już nie odzyskasz tych plików. CHYBA, że posiadasz pliki niezainfekowane na PC. Jeżeli posiadasz jakiś plik przed zaszyfrowaniem i po, być może uda się wyciągnąć klucz i to wszystko jeszcze odkręcić. Generalnie spróbuj tą Pandą coś zrobić.

Co więcej? Jeśli Panda nie da rady... Część dekrypterów działa na takiej zasadzie, że tworzy nowy plik zaszyfrowany, po czym usuwa stary. Jeśli sumaryczny rozmiar zaszyfrowanych plików jest mniejszy od ilości wolnego miejsca na dysku, być może uda się dane odzyskać dzięki odpowiednim narzędziom. Poradnik tu:

http://www.securelis...ions/old313444?

A na przyszłość to wyłącz totalnie udostępnianie plików oraz przekonfiguruj usługi: takie rzeczy jak rejestr zdalny czy pulpit zdalny będziesz musiał wyłączyć, jeśli nie łączysz się zdalnie z innym komputerem przez sieć. Dobry poradnik z różnymi konfiguracjami znajdziesz tu:

http://www.blackvipe...configurations/

Dobry antivir i anti-spyware (osobiście: MSE oraz Spybot). No i NoScript do przeglądarki (toporny, wkurzający, ale skuteczny).

[toporminator]

Nie miałem dziś za dużo czasu wiec nie sprawdziłem jeszcze tej Pandy, ale sposób z przywracaniem nie zadziałał (tzn nie ma czego przywracać) może kwestia tego że to dysk zewnętrzny, a nie twardziej na stałe przypisany do systemu.

Zedytuje post jak wypróbuję tą Pandę.

Co do duplikatu pliku to by się na pewno coś znalazło (tak aby mieć wersję "czystą" i zaszyfrowaną), ale czy ktoś jest w stanie coś takiego złamać?

[noniewiem]

Kodowanie polega po prostu na tym, że dane przyrównujesz do odpowiedniego, stałego klucza, który te dane zamienia miejscami. Nie bawiłem się nigdy w to, nie znam dokładnej nomenklatury, ale fakt jest taki, że w taki sposób szyfrowania to bawiono się już w XV wieku. Wszakże potrzeba (wojna) matką wynalazków

Teoretycznie, mając plik przed zaszyfrowaniem i po, program będzie w stanie ten klucz złamać. Użyj jednak największego możliwego pliku jaki znajdziesz sprzed szyfrowania - jeśli będziesz miał szczęście to może nawet cały klucz uda ci się wygenerować.

Osobiście to wątpię, aby ten wirus używał zmiennych kluczy do każdego pliku, no ale kto to wie, nigdy nie miałem tego problemu.

EDIT

Panda zaznaczyła, że ten dekrypter jest tylko do specyficznego rodzaju ransomware'ów. Więc może nie zadziałać z twoim problemem (widzę to po dodanym rozszerzeniu). Ale spróbować nie zaszkodzi.

Ostatecznie pozostaje jeszcze odzyskiwanie danych odpowiednimi programami.

[toporminator]

No dobrze ale o j

Teoretycznie, mając plik przed zaszyfrowaniem i po, program będzie w stanie ten klucz złamać.

Mówisz o jakimś konkretnym programie?