*.enc или бесплатная криптозащита
Понедельник день и так тяжелый, а если еще работать приходится, то вообще пиздец.
Вот и у меня произошло.
С утра, звонок, печальный голос,
Вся база нахуй улетела.
Так будь любезен сисадмин… далее столько матов, что даже писать не буду.
Суть в том что по серверу прошелся Trojan.Encoder.157. Забавная вещь (PS. Спустя 12 часов - Нехуя не забавная!!!) Шифрует все файлы в системе и оставляет такое сообщение:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл «HOW TO DECRYPT FILES.TXT».
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
Ну я разумеется поступил как здравомыслящий человек и полез (нет, не за кошельком а…) в интернет и начал разбираться в сути происходящего. Пробежавшись по паре форумов решил воспользоватся специализированной помощью. Ибо базы уже не первый год ведутся. Помощь мне оказали в лаборатории dr.Web вот ссылка для страждущих. Сразу хочу сказать, что для каждого подобного случая есть свое лекарство, так что не пытайтесь делать все что написано в форумах, ибо чревато потерей данных. Напишите специалистам, вам ответят что лучше всего и как использовать.
Со мной связались и посоветовали скачать лечащую утилиту. Утилитка действительно пригодилась, но ключ указанный в HOW TO DECRYPT FILES.txt как не прискорбно не подошел. Что дальше делать мне не ответили.
Сожрав с досады бублик украденный у бухгалтера во время экзекуций и тотального пробоя кармы и ауры на 7 поколений вперед я двинулся дальше.
Забежал по случайной ссылке на http://tyugashev-va.livejournal.com/ я обрел искомое. Человек с серым веществом промеж ушей и что немаловажно с желанием помочь страждущим, написал очень подробный пост как заразу прижать и заодно спасти данные. Всем кто хочет разобраться в теории антивирусного противодействия прошу ознакомится http://tyugashev-va.livejournal.com/749.html.
Кто не одолел много буков и терминов то краткая суть такова:
1. Как только обнаружили на своем компьютере файлы с расширением .ENC в ПЕРВУЮ ОЧЕРЕДЬ ОТКЛЮЧАЕМ АНТИВИРУС!!! (как бы парадоксально бы это не звучало но то что они натворят может быть критично для зашифрованных файлов)
2. Жмем Ctrl+F и по поиску ищем файлы CriptoMaster.exe и ps.ce схороняем их в архив. Дабы злой антивирус не приказал им долго жить.
3. Качаем http://rghost.ru/40505045 утилиту выдергивания пароля из ps.ce. Распаковываем архив в удобное место и в папочку копируем с заменой файл ps.ce. Запускаем Program.exe и переписываем появившийся код. В моем случае он был такой lmYogBe4B74J4S6OC3p50TT6iO5DCo7.
4. Качаем утилиту лечения от доктора Веба. Распаковываем в удобное место и запускаем командную строку (cmd). И запускаем утилиту, строка должна выглядеть так:
C:\Users\admin\123>te157decrypt.exe -p lmYogBe4B74J4S6OC3p50TT6iO5DCo7 где
C:\Users\admin\123 путь до папки с утилитой te157decrypt.exe
te157decrypt.exe собственно сама утилита.
-p ключ запуска пароля.
lmYogBe4B74J4S6OC3p50TT6iO5DCo7 собственно сам пароль (у вас он будет другим).
Если все сделано правильно то появится окошко запуска программы где надо нажать Продолжить и дождаться сообщения от программы что файлы благополучно расшифрованы.
Запись опубликована drHimik. You can comment here or there.