Вырус id-5796852754_support@recovery.cab шифрует файлы, помогите!

[Veisko]

Здравствуйте! Поймал вирус, который шифрует файлы и преобразует их в архив с расширением id-5796852754_support@recovery.cab, помогите выявить вирус и вернуть файлы в их первоначальный вид.
Спасибо!

[Eugene L.]

kaspersky не справился?
Вообще в гугле инфа есть:
https://www.google.ru/search?client=opera&q=recovery.cab&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest&gws_rd=ssl
Но с расшифровкой вроде бы проблемы )
http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007
Общая суть - дешифровать вроде бы можно, если есть лицензия на антивирус, возможно там помогут

[Pavel741]

ооо, мой батя тоже подловил)
говорят др.веб в этом деле продвинулся. завтра буду писать им...
https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1

[DimaN]

А какие файлы то шифрует?

[Veisko]

все текстовые. все с изображением все нужные документы и архивы

[DimaN]

Изображения можно вылечить какой нибудь лечилкой картинок. Вирус повреждает заголовок и куски кода в теле картинки. Заголовок лечилка картинок исправляет легко. У куски поврежденного кода в теле практически не влияют на качество изображения. Лечилка что то типа jpeg ripper. Давно уже было точно не помню.

[BorMAN]

у меня главбух поймала пол-года назад такую бяку
откат на бэкап 3-х дневный решил проблему
а до этого пол-дня убил на поиск решения данной проблемы но так и ничего результативного не нашел (да и гафбух стояла над душой: "мне работать нуна!!!" и готова была заплатить вымогателям ))

[son30]

Если кто победил напишите. Такая же беда. Сьел 1С.

[Gashek]

Изображения можно вылечить какой нибудь лечилкой картинок. Вирус повреждает заголовок и куски кода в теле картинки. Заголовок лечилка картинок исправляет легко. У куски поврежденного кода в теле практически не влияют на качество изображения. Лечилка что то типа jpeg ripper. Давно уже было точно не помню.

Так он каждое изображение в архив сует. сам файл внутри и не тронут

Решения по шифровальщику нет и НЕ БУДЕТ. Веб помог только парочке и на старом типе, в самом начале и, видимо, случайно.
Веб в новую версию антивируса добавил функцию архивного копирования

ТОЛЬКО БЕКАП.

[Serhio]

Тоже двое поймали на работе. Последняя версия вируса использует PGP и соответственно для расшифровки нужна вторая половина ключа, которая есть у вымогателей и ее они отдают за денежку так что помогает лишь копия всех документов на отдельном носители вне компа. Кстати, если у вас подключены сетевые диски под буквами, то файлы будут зашифрованы и там. Так как вирус проходит все диски от a-z. Вот такие пироги.

[DimaN]

Изображения можно вылечить какой нибудь лечилкой картинок. Вирус повреждает заголовок и куски кода в теле картинки. Заголовок лечилка картинок исправляет легко. У куски поврежденного кода в теле практически не влияют на качество изображения. Лечилка что то типа jpeg ripper. Давно уже было точно не помню.

Так он каждое изображение в архив сует. сам файл внутри и не тронут

Решения по шифровальщику нет и НЕ БУДЕТ. Веб помог только парочке и на старом типе, в самом начале и, видимо, случайно.
Веб в новую версию антивируса добавил функцию архивного копирования

ТОЛЬКО БЕКАП.

А точно ли архивирует? Или просто меняет расширение? Можно образец зашифрованного файла?  Желательно изображения.

[FuR]

Вопрос ко всем "заразившимся": Что за аньтивирь стоял? Неужели каспер пропустил?

[Восьмой]

Вопрос ко всем "заразившимся": Что за аньтивирь стоял? Неужели каспер пропустил?

Каспер много чего пропускает. Как и остальные. Игра на опережение. У каспера с этим ещё и похуже в плане скорости реагирования, так как нет полноценных потоковых обновлений.

[Serhio]

А там как такового вируса и нет. Поэтому и не ругаются антивири. в теле письма ссылка якобы на акт сверки или накладная. и запускается ява-скрипт. подкачивает эта зараза из инета PGP и вперед по маске шифровать.

[BorMAN]

А там как такового вируса и нет. Поэтому и не ругаются антивири. в теле письма ссылка якобы на акт сверки или накладная. и запускается ява-скрипт. подкачивает эта зараза из инета PGP и вперед по маске шифровать.

именно так...
гафбух открыла письмо о смене реквизитов (так что соус может быть разный))

[DimaN]

Лет 15 уже с Каспером, полет нормальный. Антивирус определяет наличие вируса в файле по сигнатурам и с помощью проактивной защиты.  Сигнатура - увидел в теле файла признак вируса значит это вирус. Проактивная защита - увидел подозрительную активность (массовая рассылка писем) значит это вирус. Проактивная защита по моему даже по умолчанию выключена потому как геморно с ней (антивирус ругается на все подряд). А сигнатуры у Каспера по моему обновляются несколько раз в день. У меня на компе стоит обновление каждые 2 часа. Если на сайты с сиськами-письками не лазить с миллионами всплывающих окон то и проблем не будет.

[Veisko]

вот ответ от ТП Касперского-

Извините, вам запрещён просмотр содержимого спойлеров.

[Forever]

Ооо, знакомая ситуация! Знать не знал, что за херь такая, пока приятель не позвонил и дрожащим голосом не попросил "сделать хоть что-то". Из того, что узнал: Аваст пропускает, откуда зараза взялась приятель точно вспомнить не смог, грит, что в почте открывает только знакомые адреса или писмьа от всяких госадресов (ну я так думаю, что он на таком и попался). Бэкап не спас уж не знаю почему. тут мы загрустили и тупо прочесали все ESETом. Долго сидели и психовали, но в итоге даже ось спасли. Как я понял, нечисть бьет именно файлы в первую очередь документы, потом проги, и это делается постепенно, наверно поэтому откат спасает лишь отчасти. Вобще хер знает как спасаться от этой дряни. Хотя вот у меня ESS стоит, он даже не все письма дает открывать.

[wiRUS]

На работе в сетевых папках начали появляться папки с расширением scr. Как с этим бороться?

[DimaN]

На работе в сетевых папках начали появляться папки с расширением scr. Как с этим бороться?

На все компы поставить человеческий антивирус. Какой сейчас стоит?

[wiRUS]

На работе в сетевых папках начали появляться папки с расширением scr. Как с этим бороться?

На все компы поставить человеческий антивирус. Какой сейчас стоит?

Каспр и НОД

[DimaN]

Я бы на тех машинах где стоит НОД прогнал проверку чем нибудь типа CureIt.

[Восьмой]

Я бы на тех машинах где стоит НОД прогнал проверку чем нибудь типа CureIt.

DR WEB давно уже хлам жуткий, крашащий систему. Его даже ни в один рейтинг не включают уже года как полтора. После "курит ит" прогоняешь тем же хитманом, находит трояны и не раз, факт. Хвалят только олдфаги, которым не хватает ума переключиться уже на что-то более нормальное и совершенное. Притом, что рынок меняется чуть ли не каждые полгода. Про есет вообще молчу. Сдулись, слились и т.п. Единственные антивирусы, установленные на компах, после которых не находишь ничего реально опасного это Каспер и Аваст. Битдефендер тоже неплох.

[J2]

Единственные антивирусы, установленные на компах, после которых не находишь ничего реально опасного это Каспер и Аваст. Битдефендер тоже неплох.

Стоит симантек уже года три не видел заразы. На работе тоже симантек на всех компах.

[Danny]

Ооо, знакомая ситуация! Знать не знал, что за херь такая, пока приятель не позвонил и дрожащим голосом не попросил "сделать хоть что-то". Из того, что узнал: Аваст пропускает, откуда зараза взялась приятель точно вспомнить не смог, грит, что в почте открывает только знакомые адреса или писмьа от всяких госадресов (ну я так думаю, что он на таком и попался). Бэкап не спас уж не знаю почему. тут мы загрустили и тупо прочесали все ESETом. Долго сидели и психовали, но в итоге даже ось спасли. Как я понял, нечисть бьет именно файлы в первую очередь документы, потом проги, и это делается постепенно, наверно поэтому откат спасает лишь отчасти. Вобще хер знает как спасаться от этой дряни. Хотя вот у меня ESS стоит, он даже не все письма дает открывать.

Так а в итоге что с файлами? Что спасли? Как расшифровали? Это главное, что меня беспокоит

[Danny]

Единственные антивирусы, установленные на компах, после которых не находишь ничего реально опасного это Каспер и Аваст. Битдефендер тоже неплох.

Стоит симантек уже года три не видел заразы. На работе тоже симантек на всех компах.

Может, вам прсото везет. А как у Симантека с дешифровкой?

[J2]

Единственные антивирусы, установленные на компах, после которых не находишь ничего реально опасного это Каспер и Аваст. Битдефендер тоже неплох.

Стоит симантек уже года три не видел заразы. На работе тоже симантек на всех компах.

Может, вам прсото везет. А как у Симантека с дешифровкой?

Я такого мнения, что лучше OSX, если нужна винда, то для этого есть parallels desktop. Ну а если использовать винду, то поставил симантек и забыл про все. Уж тем более не вникать про дешифровки. Стоит endpoint protection. Можете почитать что за зверь такой.

[Восьмой]

Единственные антивирусы, установленные на компах, после которых не находишь ничего реально опасного это Каспер и Аваст. Битдефендер тоже неплох.

Стоит симантек уже года три не видел заразы. На работе тоже симантек на всех компах.

Может, вам прсото везет. А как у Симантека с дешифровкой?

Я такого мнения, что лучше OSX, если нужна винда, то для этого есть parallels desktop. Ну а если использовать винду, то поставил симантек и забыл про все. Уж тем более не вникать про дешифровки. Стоит endpoint protection. Можете почитать что за зверь такой.

Про OSX плюсую. Но имхо, она не такая удобная как винда если речь идет о работе с файлами. Да и честно скоростью так то, не блистает. Та же 10 быстрее. А насчёт симантека - да, вполне годная защита для корпоративного сегмента, но уже давно не лидер. Есть позиции по которым они сильно отстают от того же касперского. Кстати идеи многие заимствуются именно у аваста, просто слежу за рынком и "новыми" функциями. Ну как никак больше 20 лет этой чешской конторе.

А автору насчёт криптора забудьте. Сколько я встречал машинок с этой проблемой и всего раз находилось решение проблемы. Даже на формуах каспера и битдефендера так говорят. Есть конечно несколько не опасных фейковых криптеров, которые на самом деле не шифруют и меняют реестр и ассоциации файлов, но это скорее редкость. Сейчас алгоритмы шифрования крипторов AES 256 и оно ещё сверху зашифровано другим алгоритмом. Это суперкомпьютер один файл за неделю в лучшем случае расшифрует.

[Forever]

Ооо, знакомая ситуация! Знать не знал, что за херь такая, пока приятель не позвонил и дрожащим голосом не попросил "сделать хоть что-то". Из того, что узнал: Аваст пропускает, откуда зараза взялась приятель точно вспомнить не смог, грит, что в почте открывает только знакомые адреса или писмьа от всяких госадресов (ну я так думаю, что он на таком и попался). Бэкап не спас уж не знаю почему. тут мы загрустили и тупо прочесали все ESETом. Долго сидели и психовали, но в итоге даже ось спасли. Как я понял, нечисть бьет именно файлы в первую очередь документы, потом проги, и это делается постепенно, наверно поэтому откат спасает лишь отчасти. Вобще хер знает как спасаться от этой дряни. Хотя вот у меня ESS стоит, он даже не все письма дает открывать.

Так а в итоге что с файлами? Что спасли? Как расшифровали? Это главное, что меня беспокоит

А никак, ничего не осталось. После бэкапа и ЕСЕТа выжженная пустыня осталась, жаль, что сразу NOD32 не стоял . В принципе я как раз за такой подход, ибо как я понял если вирус шифрует часть кода файла, то антивир отправит его на лечение, но не факт, что файл так сказать вылечится, и возможно в этой части кода будет вирус. А так все уничтожено и без вариантов. Вобщем жизнь учит делать резервные копии дисков. И да, у ЕСЕТ сообщает, что дает шанс восстановить файлы при наличии у тебя покупной лицензии этого вендора (см. статью от ЕСЕТ от Eugene L. Чуть выше).

[Восьмой]

Ооо, знакомая ситуация! Знать не знал, что за херь такая, пока приятель не позвонил и дрожащим голосом не попросил "сделать хоть что-то". Из того, что узнал: Аваст пропускает, откуда зараза взялась приятель точно вспомнить не смог, грит, что в почте открывает только знакомые адреса или писмьа от всяких госадресов (ну я так думаю, что он на таком и попался). Бэкап не спас уж не знаю почему. тут мы загрустили и тупо прочесали все ESETом. Долго сидели и психовали, но в итоге даже ось спасли. Как я понял, нечисть бьет именно файлы в первую очередь документы, потом проги, и это делается постепенно, наверно поэтому откат спасает лишь отчасти. Вобще хер знает как спасаться от этой дряни. Хотя вот у меня ESS стоит, он даже не все письма дает открывать.

Так а в итоге что с файлами? Что спасли? Как расшифровали? Это главное, что меня беспокоит

А никак, ничего не осталось. После бэкапа и ЕСЕТа выжженная пустыня осталась, жаль, что сразу NOD32 не стоял . В принципе я как раз за такой подход, ибо как я понял если вирус шифрует часть кода файла, то антивир отправит его на лечение, но не факт, что файл так сказать вылечится, и возможно в этой части кода будет вирус. А так все уничтожено и без вариантов. Вобщем жизнь учит делать резервные копии дисков. И да, у ЕСЕТ сообщает, что дает шанс восстановить файлы при наличии у тебя покупной лицензии этого вендора (см. статью от ЕСЕТ от Eugene L. Чуть выше).

Полный бред. Это просто завлекалочка. Никогда на моей памяти они не помогали в индивидуальных случаях. А лечение совсем по другому сценарию проходит. Да и вирусы такие встретить уже врятли получится. Там определённые типы только. Сейчас всё удаляется в 99.99999% случаев. Ещё раз повторю - зашифрованные файлы уже не восстановить.