Ответить
  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 10:39
    Elv:

    Strazik:

    Самостоятельно я не смогу расшифровать файлы?

    Дешифратором если, но его нужно иметь в наличии

    Elv, подскажите какой нужен и где скачать. Работа стала.

  • Elv Senior Member
    офлайн
    Elv Senior Member

    15811

    9 лет на сайте
    пользователь #349378

    Профиль
    Написать сообщение

    15811
    # 26 мая 2017 10:42 Редактировалось Elv, 4 раз(а).
    Elv:

    Эти нехорошие люди вложили свои знания в шифратор и хотят за это получить вознаграждение

    Но при оплате не факт, что Вы получите свои файлы в расшифрованном виде .

    Добрый день! На форуме прочитала, что расшифровка файлов - процесс долгий и, вероятно, невозможный. Поэтому систему переустановили...вируса больше нет и всей информации тоже... Спасибо большое за помощь! Воспользуюсь рекомендациями по защите пк от шифровальщиков в дальнейшем.

    Рекомендации по защите компьютера от программ-шифровальщиков
    Защита от шифровальщиков от nod

    Специалист широкого профиля в Шчучыншчыне
  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 11:25

    Elv, получается при переустановки системы информация на всех дисках исчезнет??

  • Elv Senior Member
    офлайн
    Elv Senior Member

    15811

    9 лет на сайте
    пользователь #349378

    Профиль
    Написать сообщение

    15811
    # 26 мая 2017 11:35 Редактировалось Elv, 1 раз.
    Strazik:

    получается при переустановки системы информация на всех дисках исчезнет??

    Если информацию копировать (перемещать не желательно) на диск D, E, флешку, внешний винчестер ... не исчезнет с диска С если на нем установлена операционная система. А важную информацию лучше хранить на нескольких носителях, делать резервные копии.

    Специалист широкого профиля в Шчучыншчыне
  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 11:45

    ОС стоит на диске С. Просто если я переустановлю систему,исчезнет ли зашифровка на дисках D, E. Диск С черт с ним, меня интересует информация на других дисках. Попала с этим вирусом...

  • Elv Senior Member
    офлайн
    Elv Senior Member

    15811

    9 лет на сайте
    пользователь #349378

    Профиль
    Написать сообщение

    15811
    # 26 мая 2017 11:52

    О вирусе Ishtar

    БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
    > Стандартный порядок шифрования: AES 256 + RSA 2048.
    > Для каждого файла создается уникальный AES ключ.
    > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).

    Добавлено спустя 10 минут 43 секунды

    Strazik:

    если я переустановлю систему,исчезнет ли зашифровка на дисках D, E.

    Сам вирус может исчезнуть при форматировании диска (полная потеря информации), для файлов создается уникальный ключ .

    Специалист широкого профиля в Шчучыншчыне
  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 12:28

    Вот это я попала. Дешифратора на этот вирус нет.
    Elv, вы не подскажите как сделать копирование всех зараженных файлов на windows XP?

  • Elv Senior Member
    офлайн
    Elv Senior Member

    15811

    9 лет на сайте
    пользователь #349378

    Профиль
    Написать сообщение

    15811
    # 26 мая 2017 12:40 Редактировалось Elv, 3 раз(а).
    Strazik:

    как сделать копирование всех зараженных файлов на windows XP?

    %User_name%/AppData/Roaming/winishtar.exe - исполняемый файл шифровальщика
    ishtar_ransomware.exe - исполняемый файл шифровальщика (23-24 ноября)
    %User_name%/AppData/Roaming/<ransom_name>.exe - копия исполняемого файла
    %User_name%/AppData/Roaming/<ransom_name>.tmp
    %APPDATA%\<random>.exe - копия исполняемого файла
    %APPDATA%\<random>.tmp
    C:\README-ISHTAR.txt - записка о выкупе
    %AppData%\Roaming\README-ISHTAR.txt - копия записки о выкупе
    C:\ISHTAR.DATA - уникальный файл-ключ для ПК с Windows 7 и выше
    %AppData%\ISHTAR.DATA - тот же уникальный файл-ключ для ПК с Windows 7 и выше
    %AppData%\Roaming\ISHTAR.DATA - копия уникального ключа для ПК с Windows 7 и выше
    C:\Documents and Settings\<USER>\Application Data\ISHTAR.DATA - файл-ключ для ПК с Windows XP
    %USERPROFILE%\Desktop\Ishtar_ransomware.docx
    %APPDATA%\Microsoft\Templates\~$Normal.dotm
    Anketa sotrudnikov pretend na povushenie.exe - пример вредоносного вложения
    Счет_отправлено_контрагенту_22_11.exe - пример вредоносного вложения

    Обычным способом не копируются ? Пробовать в безопасном режиме, с загрузочного диска live cd \ win pe . Снимать винчестер и подключать к другому компьютеру не безопасно скорее всего.

    Добавлено спустя 2 минуты 40 секунд

    Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%). - после форматирования диска возможно не получится расшифровать файлы если удастся получить дешифратор. А получить его после оплаты вероятность 50 \ 50 .

    Пишите наверно письмы по указанному емейл, там лучше знают как это работает .

    Специалист широкого профиля в Шчучыншчыне
  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 13:05

    Никакой оплаты не будет. Ishtar.data сохраню.

  • wlt Senior Member
    офлайн
    wlt Senior Member

    944

    13 лет на сайте
    пользователь #108206

    Профиль
    Написать сообщение

    944
    # 26 мая 2017 13:06

    Strazik, если честно, я бы не питал особых надежд на восстановление данных, подобные случаи очень редкие. Для создания дешифратора необходим ключ, который хранится у злоумышленников. Если эти негодяи попадутся в лапы спецслужб, тогда возможна расшифровка. По личному опыту скажу - попался как-то один комп на ctb-locker, до сих пор дешифратор не выпущен, прошло 2,5 года.
    Смиритесь и на будущее резервируйте данные в облако, на съёмный носитель, хоть куда-нибудь. Также не помешает периодически снимать образ системы, например с помощью Acronis True Image, как самый быстрый способ восстановления системного диска с находящимися на нём файлами. Переходите с XP, хотя бы на 7-ку, там есть UAC, какая-никакая но защита от дурака. Об остальной защите можно почитать по ссылкам выше.

  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    44147

    15 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    44147
    # 26 мая 2017 13:16
    wlt:

    Strazik, если честно, я бы не питал особых надежд на восстановление данных, подобные случаи очень редкие.

    Тут еще все зависит от способа шифрования. Криптографические преобразования довольно ресурсоемки и требуют длительного времени, потому часто данные шифруются с помощью простейшей функции XOR. Тогда расшифровать файлы не сложно. Но если используются криптографические алгоритмы, то тогда поиск ключа довольно трудный процесс.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 17:12

    wlt, MaxRusak, спасибо за советы. У меня с утра кругом голова была, шок, столько ценной информации снесли.
    В России по таким случаям обращаются в МВД, есть у нас такая практика?

  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    44147

    15 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    44147
    # 26 мая 2017 17:27
    Strazik:

    В России по таким случаям обращаются в МВД, есть у нас такая практика?

    Есть. У нас для этого имеется Управление К.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • borux Senior Member
    офлайн
    borux Senior Member

    1299

    7 лет на сайте
    пользователь #773842

    Профиль
    Написать сообщение

    1299
    # 26 мая 2017 18:31

    Форумчане,что это

    С чем и как это ловят? В "помойках" не серфю.Можно как-то узнать когда и как это зашло ко мне?
    Спасибо.

  • morg-den Senior Member
    офлайн
    morg-den Senior Member

    4518

    13 лет на сайте
    пользователь #80884

    Профиль
    Написать сообщение

    4518
    # 26 мая 2017 19:37

    borux, путь расположения папка temp,а дальше на скрине не видно от чего(от какой программы)

  • borux Senior Member
    офлайн
    borux Senior Member

    1299

    7 лет на сайте
    пользователь #773842

    Профиль
    Написать сообщение

    1299
    # 26 мая 2017 19:53
    morg-den:

    borux, путь расположения папка temp,а дальше на скрине не видно от чего(от какой программы)

    А так?

  • morg-den Senior Member
    офлайн
    morg-den Senior Member

    4518

    13 лет на сайте
    пользователь #80884

    Профиль
    Написать сообщение

    4518
    # 26 мая 2017 20:08 Редактировалось morg-den, 1 раз.

    удаляй нафиг,может с баннером каким подхватил,вообще антивирь какой стоит на компе?ну и банер резка в браузере?
    прогони еще комп AdwCleaner и Kaspersky Virus Removal Tool

  • borux Senior Member
    офлайн
    borux Senior Member

    1299

    7 лет на сайте
    пользователь #773842

    Профиль
    Написать сообщение

    1299
    # 26 мая 2017 20:23
    morg-den:

    удаляй нафиг,может с баннером каким подхватил,вообще антивирь какой стоит на компе?ну и банер резка в браузере?
    прогони еще комп AdwCleaner и Kaspersky Virus Removal Tool

    Да у меня на 10-ке только встроенный.Никогда ничего не ловил,а тут нате.
    Спасибо.

  • Strazik Senior Member
    офлайн
    Strazik Senior Member

    953

    10 лет на сайте
    пользователь #255297

    Профиль
    Написать сообщение

    953
    # 26 мая 2017 20:27
    MaxRusak:

    Strazik:

    В России по таким случаям обращаются в МВД, есть у нас такая практика?

    Есть. У нас для этого имеется Управление К.

    Спасибо, попробую написать.

  • morg-den Senior Member
    офлайн
    morg-den Senior Member

    4518

    13 лет на сайте
    пользователь #80884

    Профиль
    Написать сообщение

    4518
    # 26 мая 2017 20:40 Редактировалось morg-den, 4 раз(а).
    borux:

    Да у меня на 10-ке только встроенный

    вы не первый у кого проблемы со встроенным антивирем,прогоните каспером полную проверку,так же AdwCleaner,надеюсь вы dr.web cureit выбрали полную проверку а не быструю?

    после проверки поставьте нормальный антивирус а не эту какашку от мелких,ну и в браузер тоже банерорезку,я использую например прасширения к браузеру uBlock Origin можно также adguard расширение