Всем привет!

Столкнулся с зашифрованными файлами, название которых заканчивается расширением *.oerukpj (комп схватил какой-то жёсткий криптор). Посоветуйте, что делать и как раздекриптить? Когда-то была похожая штука, которая мне все файлы закодировала в расширение *.CRYPTED, но тут помогла утилита от Касперского (DecryptCryptoLocker вроде бы). А вот по этому расширению нет в инете ни слова!( Подозреваю, что расширение вирус сгенерил рандомно, но нужно лекарство! Помогите, кому не жалко!

http://i.piccy.info/i9/59fd3e554f6ad9bee3d12687469442c3/1433511002/74837/913097/2015_06_05_162929.jpg

отправь смс на номер 8-92....

Теперь вы будете делать бекапы.

(1) Ну-ну...

(2) 1ГБ бекапа??? о_О

(2) Это тоже выход, но нужно достать зашифрованные файлы...

(4) Чего удивительного? Посмотрел свой диск с бекапами: ~800 Гб.

(6) (О)_(О) Ну чё, норм так... Респект, за такое железо! Да вот только помощи прошу по раскодированию.

(7) Внешний винт на 2 терабайта. Так себе железо.
А по помощи: Что то новое появилось. Надо в каспер/нод/симантек/макафи и т.д. писать... Может помогут....

(8)что забекапить гиг фоток хватило бы самой дешевой флешки за 200рублей

(9) Да чего там, dvd болванки бы хватило. :)

Вообще копейки стоит. :)

(4) Блин, поспешил с буквами... 1ТБ хотел сказать.

(8) (9) (10) (11) - Ребят, ну я все понимаю: похихикали и будет Вам. Кроме (8) может есть еще что?

(13) Это конечно из мира фантастики.... Но, а попробуй руками файлу правильное расширение поставить, что будет?

http://habrahabr.ru/post/206830/
http://habrahabr.ru/post/168677/
http://habrahabr.ru/post/232545/
Быстрый поиск по хабру дал вот это

(0)Это невозможно в принципе.
(12)И в чем проблема бэкапить террабайт?
Банальный дешевенький NAS и штуки четыре винта по 4ТБ может позволить себе даже самая бедная контора.

(16) + 100500. Брал NAS На 11 ТБ. Что то в районе 70 т.р. вышло.

Раньше были модели крипторов которые шифровали только заголовок файла, и большинство файлов можно было восстановить просто записав нормальный заголовок от аналогичного файла.

Сейчас обычно крипторы шифруют начало, середину и конец файла.
Так что про данные можно забыть.
Ну если конечно не рассматривать вариант оплаты злоумышленникам. Да и не факт что отправят дешифратор даже заплатив.

(13) 100500 неудачник решил, что ради него мир перевернётся и ФСБ с ГРУ метнуть файло расшифровывать

(0) Попробуй сделать XOR по строке FF 20 EB EE F5

Запрос гуглу по фразе "теневые копии" - может там осталось что

(21)А причем тут гугл?
Можно в интерфейсе посмотреть наличие копий.
Или командой vssadmin list shadows
Если есть - монтируем и копируем.

(22) у гугля спросить команды жи :)

(21)А вообще совет хороший.
Я неоднократно вытаскивал удаленные или попорченные криптором файлы из теневой копии.
Умная винда по дефолту их включает на системном томе.
Только вот неумные юзеры и админы зачастую в целях оптимизации системы их вырубают.

А не проще ли устранить причину возникновения данной проблемы, нежели потом устранять следствие?

(25)А причину то как устранишь?

(0) утилиты помогали, пока шифровщики были школьные - шифр ксором по строке ключа или наподобие. Сейчас чаще шифруют стойкими криптоалгоритмами с уникальным для каждого "клиента" ключом, который может формироваться достаточно нетривиально. Поэтому с расшифровкой дело может обстоять очень и очень плохо. Бэкап. Если не платить за внешний винт для бэкапа - возможно, придется тогда платить какерам. Или говорить данным досвидос.

Спасибо всем и за флуд и за советы! Учту.

(14) - пробовал. В итоге внутри файла (к примеру в Excel'e) просто набор всяких символов без привязки к ячейкам. Картинки не открываются вовсе.

(16) - почему невозможно? Еще как возможно! Смотри вырезку и скрина: таких файлов насобиралось целый сервак... =( Не я был админом до этого, потому разгребаю только последствия.

(21) и (22) - не сталкивался с этим ранее. Посмотрю. Спасибо!

Поясните последнее: (20) и (27) - что за XOR по строке? И почему именно "FF 20 EB EE F5"?

(28) Tckb есть вопросы что такое XOR, то лучше поискать специалиста который за деньги попробует решить проблему. Не факт что решит, но это максимум что можно сделать при существующем уровне знаний.

(28) простейшее шифрование, когда для каждого символа сообщения делается побитовое сложение по модулю 2 (xor) с символом ключа. Легко взламывается: если есть достаточно длинное сообщение, содержание которого известно - можно восстановить ключ и расшифровать остальные сообщения.

(0) Отправить файл в Dr.Web, если еще вышлешь им этот же файл в незашифрованном виде - сделают еще быстрее.

(30) - А где об этом побитовом сравнении можно почитать более подробно, ну, для моего случая, чтоб понять "FF 20 EB EE F5"? Штука, похоже интересная!

(31) - а разве они станут просто так искать средство для лечения? Даже если такое произойдет, думаю, этим они делиться не станут... Тем более антивирь на серваке не Dr.Web.

(32) погуглить. http://habrahabr.ru/post/183462/
(31) попробовать можно

(33) - находил...  Но без базовых знаний приведенных языков программирования не разобраться( А вот суть-то все равно не ясна. Ладно, буду копаться дальше. Еще раз спасибо всем, что указали на возможные проблемы!

(0)(34) как бы бесплатный совет

если есть какая то проблема то лучше сразу давать всю необходимую инфу...


ЗЫ в данном случае это выложить 2-3 зашифрованных файла

ЗЗЫ если есть "точно такие же" 2-3 файла но "не зашифрованные" то в 99% случаев можно расшифровать, хотя не факт что легко и быстро

(35) Согласен. Но нету исходного (незашифрованного файла), а и куда выкладывать? Добровольцев искать? Сомневаюсь...
Но все же спасибо за предложение!

(36) как бы может помощь, хотя это и сложнее намного если известно содержимое файлов хотя бы частично

типа для текстового то какие слова там есть или лучше целые фразы/предложения

а вообще да купите антивирус и в поддержку...

(37) Теперь это так и будет! Просто хотелось найти способ раскодировать файлы. Но, судя по мнениям знатоков, проще будет: "Ctrl + A", а потом "Shift + DEL". И всьо... Иначе, усилия того не стоят.

Ещё раз всем спасибо! Думаю, тему можно прикрывать.

(0) Если шифровальщик грамотный (а их наловчились грамотно делать), то никак не лечится. Все успешные расшифровки базируются на нахождении какой-то дырищи в инфраструктуре шифровальщика.

(39) не столько дырищи сколько ключа шифрования... или дырищи для его получения

(32) Ссори, информация устарела, с 2013 года нужна лицензия :(

(40) Это и есть дырища. Если всё грамотно, то ключ напрямую не получишь. А просто анализом файлов даже по известному алгоритму - тоже болт. Достаточно сделать небольшую модификацию, чтобы ключ как-то менялся от файла к файлу и каким-то стандартным расшифровщиком уже не возьмешь даже при наличии нешифрованных копий. Нужно детально потрошить код. Или делать глубокий криптоанализ. Короче, ничего хорошего.

(41) Ничё! Все равно спасибо, добрый человек, что хотя бы предлагаешь помощь и варианты!

(42) Мдааа... Выход, в общем один ---> (38)

(0) >>> комп схватил какой-то жёсткий криптор

Криптуются только заголовки или начало файла, маленький отрезок. На больших попросту станет заметно, что что-то криптуется или Что-то происходит непонятное :)

(43) Выхода Три.

1. Заплатить и перестать бездумно пользоваться "Халявой", кей генами и т.д.
2. Попробовать почитать литературку и стать мего криптографом.
3. Ваш  "Ctrl + A", а потом "Shift + DEL", до следующего шифрования :)

(45) Еще один выход в статье в (15) - скинуть файлы на какой-нибудь внешний носитель и положить на полку, мониторя время от времени тему.

Есть некоторый шанс, что со временем кто-то сможет найти решение и сделать дешифратор.