Elv:Strazik:Самостоятельно я не смогу расшифровать файлы?
Дешифратором если, но его нужно иметь в наличии
Elv, подскажите какой нужен и где скачать. Работа стала.
-
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953# 26 мая 2017 10:39 -
Senior MemberофлайнSenior Member
18565
13 лет на сайте
пользователь #34937818565# 26 мая 2017 10:42 Редактировалось Elv, 4 раз(а).Elv:
Эти нехорошие люди вложили свои знания в шифратор и хотят за это получить вознаграждение
Но при оплате не факт, что Вы получите свои файлы в расшифрованном виде .
Добрый день! На форуме прочитала, что расшифровка файлов - процесс долгий и, вероятно, невозможный. Поэтому систему переустановили...вируса больше нет и всей информации тоже... Спасибо большое за помощь! Воспользуюсь рекомендациями по защите пк от шифровальщиков в дальнейшем.Рекомендации по защите компьютера от программ-шифровальщиков
Защита от шифровальщиков от nod -
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953 -
Senior MemberофлайнSenior Member
18565
13 лет на сайте
пользователь #34937818565# 26 мая 2017 11:35 Редактировалось Elv, 1 раз.Strazik:
получается при переустановки системы информация на всех дисках исчезнет??
Если информацию копировать (перемещать не желательно) на диск D, E, флешку, внешний винчестер ... не исчезнет с диска С если на нем установлена операционная система. А важную информацию лучше хранить на нескольких носителях, делать резервные копии.
-
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953# 26 мая 2017 11:45ОС стоит на диске С. Просто если я переустановлю систему,исчезнет ли зашифровка на дисках D, E. Диск С черт с ним, меня интересует информация на других дисках. Попала с этим вирусом...
-
Senior MemberофлайнSenior Member
18565
13 лет на сайте
пользователь #34937818565# 26 мая 2017 11:52БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
> Стандартный порядок шифрования: AES 256 + RSA 2048.
> Для каждого файла создается уникальный AES ключ.
> Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).Добавлено спустя 10 минут 43 секундыStrazik:
если я переустановлю систему,исчезнет ли зашифровка на дисках D, E.
Сам вирус может исчезнуть при форматировании диска (полная потеря информации), для файлов создается уникальный ключ .
-
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953# 26 мая 2017 12:28Вот это я попала. Дешифратора на этот вирус нет.
Elv, вы не подскажите как сделать копирование всех зараженных файлов на windows XP? -
Senior MemberофлайнSenior Member
18565
13 лет на сайте
пользователь #34937818565# 26 мая 2017 12:40 Редактировалось Elv, 3 раз(а).Strazik:
как сделать копирование всех зараженных файлов на windows XP?
%User_name%/AppData/Roaming/winishtar.exe - исполняемый файл шифровальщика
ishtar_ransomware.exe - исполняемый файл шифровальщика (23-24 ноября)
%User_name%/AppData/Roaming/<ransom_name>.exe - копия исполняемого файла
%User_name%/AppData/Roaming/<ransom_name>.tmp
%APPDATA%\<random>.exe - копия исполняемого файла
%APPDATA%\<random>.tmp
C:\README-ISHTAR.txt - записка о выкупе
%AppData%\Roaming\README-ISHTAR.txt - копия записки о выкупе
C:\ISHTAR.DATA - уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\ISHTAR.DATA - тот же уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\Roaming\ISHTAR.DATA - копия уникального ключа для ПК с Windows 7 и выше
C:\Documents and Settings\<USER>\Application Data\ISHTAR.DATA - файл-ключ для ПК с Windows XP
%USERPROFILE%\Desktop\Ishtar_ransomware.docx
%APPDATA%\Microsoft\Templates\~$Normal.dotm
Anketa sotrudnikov pretend na povushenie.exe - пример вредоносного вложения
Счет_отправлено_контрагенту_22_11.exe - пример вредоносного вложенияОбычным способом не копируются ? Пробовать в безопасном режиме, с загрузочного диска live cd \ win pe . Снимать винчестер и подключать к другому компьютеру не безопасно скорее всего.
Добавлено спустя 2 минуты 40 секундРасшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%). - после форматирования диска возможно не получится расшифровать файлы если удастся получить дешифратор. А получить его после оплаты вероятность 50 \ 50 .
Пишите наверно письмы по указанному емейл, там лучше знают как это работает .
-
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953 -
Senior MemberофлайнSenior Member
1736
17 лет на сайте
пользователь #1082061736# 26 мая 2017 13:06Strazik, если честно, я бы не питал особых надежд на восстановление данных, подобные случаи очень редкие. Для создания дешифратора необходим ключ, который хранится у злоумышленников. Если эти негодяи попадутся в лапы спецслужб, тогда возможна расшифровка. По личному опыту скажу - попался как-то один комп на ctb-locker, до сих пор дешифратор не выпущен, прошло 2,5 года.
Смиритесь и на будущее резервируйте данные в облако, на съёмный носитель, хоть куда-нибудь. Также не помешает периодически снимать образ системы, например с помощью Acronis True Image, как самый быстрый способ восстановления системного диска с находящимися на нём файлами. Переходите с XP, хотя бы на 7-ку, там есть UAC, какая-никакая но защита от дурака. Об остальной защите можно почитать по ссылкам выше. -
Senior MemberофлайнSenior Member
59321
19 лет на сайте
пользователь #4172859321# 26 мая 2017 13:16wlt:
Strazik, если честно, я бы не питал особых надежд на восстановление данных, подобные случаи очень редкие.
Тут еще все зависит от способа шифрования. Криптографические преобразования довольно ресурсоемки и требуют длительного времени, потому часто данные шифруются с помощью простейшей функции XOR. Тогда расшифровать файлы не сложно. Но если используются криптографические алгоритмы, то тогда поиск ключа довольно трудный процесс.
Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций. -
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953# 26 мая 2017 17:12wlt, MaxRusak, спасибо за советы. У меня с утра кругом голова была, шок, столько ценной информации снесли.
В России по таким случаям обращаются в МВД, есть у нас такая практика? -
Senior MemberофлайнSenior Member
59321
19 лет на сайте
пользователь #4172859321# 26 мая 2017 17:27Strazik:
В России по таким случаям обращаются в МВД, есть у нас такая практика?
Есть. У нас для этого имеется Управление К.
Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций. -
Senior MemberофлайнSenior Member
1447
11 лет на сайте
пользователь #7738421447 -
Senior MemberофлайнSenior Member
5797
17 лет на сайте
пользователь #808845797# 26 мая 2017 19:37borux, путь расположения папка temp,а дальше на скрине не видно от чего(от какой программы)
-
Senior MemberофлайнSenior Member
1447
11 лет на сайте
пользователь #7738421447 -
Senior MemberофлайнSenior Member
5797
17 лет на сайте
пользователь #808845797 -
Senior MemberофлайнSenior Member
1447
11 лет на сайте
пользователь #7738421447# 26 мая 2017 20:23morg-den:
удаляй нафиг,может с баннером каким подхватил,вообще антивирь какой стоит на компе?ну и банер резка в браузере?
прогони еще комп AdwCleaner и Kaspersky Virus Removal ToolДа у меня на 10-ке только встроенный.Никогда ничего не ловил,а тут нате.
Спасибо. -
Senior MemberофлайнSenior Member
953
14 лет на сайте
пользователь #255297953# 26 мая 2017 20:27MaxRusak:
Strazik:
В России по таким случаям обращаются в МВД, есть у нас такая практика?
Есть. У нас для этого имеется Управление К.
Спасибо, попробую написать.
-
Senior MemberофлайнSenior Member
5797
17 лет на сайте
пользователь #808845797# 26 мая 2017 20:40 Редактировалось morg-den, 4 раз(а).borux:
Да у меня на 10-ке только встроенный
вы не первый у кого проблемы со встроенным антивирем,прогоните каспером полную проверку,так же AdwCleaner,надеюсь вы dr.web cureit выбрали полную проверку а не быструю?
после проверки поставьте нормальный антивирус а не эту какашку от мелких,ну и в браузер тоже банерорезку,я использую например прасширения к браузеру uBlock Origin можно также adguard расширение
