Вчера вечером появилась заставка на раб столе твои файлы зашифрованы, пришли один файл на мыло, а то через неделю вообще все пропадет. на диске вместо документов и фото домашнего архива, теперь такие виды файлов [email protected] 1.0.0.0.id-далее много букв. с расширением *.cbf

Да знаю, знаю многие посмеются, больше половины славо богу есть на дублирующем съемном диске, а хочется вернуть все фото и документы, ибо жена по ошибки тыкнула на ссылку в почте. Если кто нибудь реально сталкивался с такой проблемой прошу дать ценный совет, как все это восстановить?
я погуглил, ответы не однозначные, сам думаю так.
Варианты:
1. запустить прогу для восстановления файлов.
2. отписаться в лабораторию drweb
3. Рискнуть заплатить если цена вопроса меня устроит, что мало вероятно, и нет гарантий..
Если кто то имеет опыт восстановления из такой ситуации просьба помочь, заранее спасибо всем...

(40) если асимметричный алгоритм, то да. Но народ надеется на то что именно им достанется шифровальщик пионера Васи с ксором на коротком ключе...

(30) Самое трудное в этом бизнесе - вывести деньги.
Пионер палиться на раз.

Обычно занимаются этим нормальные такие преступные синдикаты, у которых есть куча дропов(наркоманы которые будут обналичивать)

Хотя бывают и студенты. Если попадешь на студентов - данные уже не восстановишь.
У первых инфраструктура, и длительный бизнес.
А студенту чисто деньжат разово урвать, они обычно сохранением ключей не заморачиваются.

(43) Да зачем там ассиметричный, он медленный, обычный AES.
Больше ничего не надо.

(45) а AES это что, по-вашему?

(46) АЕS это симметричный алгоритм.
Довольно стойкий, используется повсеместно.

хотя точно, он симметричный. Но ключ восстановить все равно нельзя

(48) Ассиметричный алгоритм нужен только для пересылки по открытому каналу.
И только для этого используется - чтобы спокойно переслать открытый ключ.

А уже после обмена ключами и установления шифрованного канала, по этому каналу обмениваются обычными симметричными ключами, тем же AES и шифруют.

Так https работает, и прочее подобное.

Ассиметричный по производительности на пару порядков хуже.

(44) Какая проблема с выводом?

(50) Деньги это такая штука которую надо обналичить.
Все платежи отслеживаются.
Сейчас правда появился вариант - биткойн, через него прогнать, тогда можно и одиночке.

(50) Кошельки могут быть палеными - человек, который будет платить вымогателям, может написать заяву в органы и сдать кошелек, соответственно это может привести к тому что возьмут того кто будет снимать деньги

(42) Он в базе с 2014 года есть
"С 25 июля 2014 по 25 января 2015 года мы обнаружили 5989 атак с использованием Trojan-Downloader.JS.Scatter на 3092 пользователей"

полную анонимность дает лишь биткойн и подобное. Все киви, вебмани, ЯД и прочее - отслеживается на раз

(52) Ну обычно выводят не через кошельки, а через банковские карты.
Человек идет снимать, рядом дежурит бригада контролеров.
Если снял удачно - забирают деньги.
Если забрали - он никого не знает.

(55) перевод на карту у шифровальщиков? Обычно там биткойн или на худой конец киви-кошелек какой-нибудь одноразовый

а дальше, я так понимаю, цепочка операций с выводом на какую-нибудь левую карту. Хотя необязательно, может быть безналичная оплата каких-нибудь услуг, тех же хостингов.

(57) Оплата услуг, товаров, это палево.
Либо на левую кредитку и обналичивает дроп.
Либо через биткойн и там уже спокойный вывод отмытых денег.

(58) Я о чем - дядя нынче биткоины просят.

(37) и что же там такого ВАЖНОГО в данных, что прям повеситься...?

(0) "полегло почти всё" - я уже подумал, что криптовири научились сеть уронить ..

(0) Даже ФБР признает: если вас поимели не школьники, самый простой выход - заплатить. https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just-pay-the-ransom/

Что ж, через пару лет хоть бэкапы научатся делать...

(62)Просто трудозатраты на дешифровку не сравнимы с ценностью данных.

(63) в некоторых конторах потеря данных была серьезным ударом по бизнесу )

плохая тенденция в последнее время  -- некоторый "билль о договореностях" (пер. с англ.) нарушен - некоторые криптовымогатели не соблюдают договоренности, не дешифруют. Это сильно бьет по бизнесу в целом.

(64) И тем не менее.

(60) наработки за 10 лет. Сотни метров проектов исходных кодов на разных языках - начиная с последних лет институа и вплоть до того, что написано и работает в разных организациях. Документация - как найденная, так и написанная самостоятельно. Разнообразные данные доступа к ресурсам. Почтовая переписка, в конце концов.

ну, есть еще всякая ерунда типа личных фото. Это тоже было бы неприятно потерять, но без этого не останешься как без рук во всяком случае.

вообще если честно, меня удивляет, как у людей на этом форуме возникают подобные вопросы. Неужели никто не сохраняет свои наработки и не использует их впоследствии? Лично для меня ценность моих данных - это все равно что ценность денег которые я зарабатываю. Одно и то же по сути.

(65) А по-моему хорошая тенденция. Если вымогатели перестанут дешифровать, жертвы перестанут платить, и бизнес загнется. Не удивлюсь, если гипотетический Анонимус сообразит это и поможет делу, распространяя шифровальщики, которые ничего не дешифруют.

(0) Удаляй, удали все, Жене привет, и спасибо... хот избавитесь от информационного мусора :)

(70) "шифровальщики, которые не дешифруют" - это тупо деструктивный код. Например, пишущий случайные байты в файлы поверх данных. Во времена ДОС был вагон и маленькая тележка подобных вирусов. К концу 90-х, к счастью, подобные вещи сошли на нет. И да, уродовали в основном системные файлы, пользовательские уничтожали редко

(69) Все наработки под 7.7 выкинул. Под обычные формы - что-то уже тоже выкинул. Старые конфы - выкинул, ибо пишу куда лучше теперь и без слез смотреть на старый код не могу.  Фото - подумал и не стал делать бэкап, тк никто их не смотрит. Что выложено в сеть - то не умрет, а что валяется на локальных хранилищах - и х с ним.

То что пишу не на 1с - валяется на гитхабе ) и локально мне нафиг не надо делать бэкапы.

(0)
http://i73.fastpic.ru/big/2015/1101/63/b475c92dc72cf5d55470f8b01f6d7063.png

from
http://www.yaplakal.com/forum7/topic1234351.html

(72) Не совсем так.
Это точно такой же шифровальщик, просто распостранитель не заморачивается дешифровкой.
Получил деньги и исчез.

(69) ценность она не терабайтах а в голове

(0) попробуй вот эту утилитку от дрвеба https://drive.google.com/open?id=0BxXTxkwVey2FT25tUVpLZkdaSTQ

(78) Хорошая шутка.

(78) спасибо попробую, написал эти дядям из украины они хотять 15 К рупи написал что я такие деньги за 3 месяца зарабатываю, на отрыжках перебьются. Вчера понял что
Варианты у меня только такие:
1. это нужно прогнать всеми прогами от касперского с пометкой crypto - прогнал толку нет
2. это написать в доктор веб если есть лиц пол года как- тоже мимо
3. заплатить врагам - но не факт что все пришлют.Дорого.
4. Обратится в стороннюю фирму, чуть дешевле но тоже без гарантий что все вернется на круги своя.
Вывод: еще раз повторюсь бэкаимся на 2 съемных винчестера через раз меняя их будет счастье)))
Сегодня не бился с невидимым врагом, ну так часок разве что настроил 2-й комп старенький для того чтоб ssd диску сделать рекавери, благо полу живой винт еще работает)), а вось что то нужное восстановится. Ну и будем-с ждать либо каспера бесплатного либо поищу знакомых с лицензией Доктор веб, вот как то так, спасибо за советы всем..

(78) не помогло, все равно спасибо

(0) Сталкивались
Опыт какой-то есть по базам, но, есс-но не дешифрования

http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-email-deskripshen1cgmailcom.htm

http://1c911.by/stati_1s/statya-vosstanovlenie-bazy-1s-77-sa-file.htm

В принципе антивирусные лаборатории могут помочь (наверное)... хотя я сомневаюсь

(69) Скажем так - для меня потерять данные это очень неприятно, и вызовет кучу проблем и финансовые потери.
Но критичным я бы это не назвал.

(80) Пункт 4можно сразу исключить, в нем нет смысла если не помогли первые два.

(86) от чего же если мне пришлют расшифрованный фаил, а далее ты оплачиваешь фирме

(76) Ну а какая с точки зрения хозяина инфы разница, как именно искажается инфа, если способа восстановить ее нет?

(87)А каким образом сторонняя фирма может расшифровать файл?
Это возможно только в случае заранее известного ключа, или банального ксора. А такие случаи и антивирусы обрабатывают, у них опыт поболее.
(88)Ну почему же нет.  Есть, просто восстанавливать тебе никто не хочет, хотят просто денег получить.

(89) Вот откеда у них дешифраторы я хз ),
По сабжу написал запрос в ДРвеб так как нашел у кого есть ключ более 6 месяцев кинули зарос жду-с

(90) Долго ждать придется, через пару сотен лет может дождешься.

(7) Название темы увидел - тоже про картинку с Лавровым сразу подумал.

Скажите линух от подобного надежней?

(93) Вообще под него шифровальщиков не видел пока, но все от прокладки зависит - если юзер под рутом работает, никакой линух не поможет.

(69) Информация, конечно, важная... но чтобы "прям повеситься..." - это однозначный перебор.
ИМХО, нельзя ТАК зависеть от информации, вещей и даже людей...

(93) Пока да. Пока базы на нем все не держат.

(94) С рутом или без рута шифровальщику пофиг.

(69) Вообще ничего не храню. Старые наработки давно неактуальны, ценность их нулевая. Фотографии - ну в гугл они автоматом сбрасываются, не удаляю их оттуда. Пропадут - да и хрен с ними. Все важные пароли - в голове. Номера телефонов - опять же в гугле, да и они не важны, все нужные контакты можно с полпинка найти либо в соцсетях, либо через знакомых.

В принципе, единственное, что критично - почтовый ящик, т.к. на него завязан ряд сервисов и аккаунтов. Но на нем сложный уникальный пароль (опять же в голове) и двухфакторная аутентификация.

Самое ценное - голова на плечах, остальное приложится.

(97) странно. Я очень часто в процессе работы использую то что делал раньше, иногда смотрю какие-то вещи на разных языках, которые делал многие годы назад, и переношу их в новые разработки. Если бы было по-другому, мне нужно было бы в десятки раз больше времени на мою работу...

по некоторым вещам, которые неочевидны, я пишу каменты и даже описалово в ворде, которое потом читаю. Это все хранится у меня.

(0) Спасибо, сделал выводы для себя

(100) не полегчает обращайся еще )))
Завтра начну делать рекавери всех файлов, мутно геморно, найти бы прогу или посоветуйте чтоб после восстановления структуру имен сохраняла прога.

(0) жена под учеткой с админскими правами?

(102) Скорей всего, Учетка одна, без пароля. Семейный очаг строится на доверии :)

(97) Ваши пароли, тоже уже все у Гугла ;)

восстановить с флешки получилось, помогли р-студио, и рестор2000, а вот с ЖД почему то ни чего не воссатнавливается....

(105) ну так он перезаписал на диске большую часть, а вот на флешке если свободное место было то простов свободные ячейки впихнул

Ответ от Др веб пришел, и очень улыбнул меня вот он в крации.
На данный момент расшифровка нашими силами видится невозможной.
Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ")

Что значит “в крации“?

Пока здесь только надежда на Каспера. А кому как не ему.

Антивирус на удаление  у Каспера начинает работать после того когда в вирусную базу попадет сам идентификатор оригинала вируса. Строго. Все не берется ниоткуда.

(108) Это примерно как Гораций.

(110) я отправил логи с АВЗ прям им на сервер мало ли обработают

(112) Насколько я понимаю, собственно исполняемый компонент шифровщика, который ищет файлы и дергает функции криптоапи для шифрования, обычно уничтожается после того, как он закончил работу. Поэтому "постфактум" вряд ли там что-то дельное найдется.

(0) К тебе по удаленному зашли всего скорее. У меня были уже преценденты с такими шифровальщиками

Решения данного вопроса выходит нет. Хреново. У нас даже часть бэкапов зашифровал.

Хреновая эпидемия, может самому начать так бабки сшибать?

(107) Ну а что еще они тебе могли сказать?

тебе сразу сказали, что расшифровывать этот экзорцизм - нет никакого смысла. В день рождаются лютые тыщи этих вирей, с дикими ключами, какой идиот их будет расшифровывать, тем более если это практически невозможно?

(115) Этой эпидемии уже лет пять-семь

(115) Чтобы бэкапы не шифровал - отбери права на запись в архив у всех.
Чтобы ни один хрен входящий в группу Администраторы, не мог туда ничего записать.

(119) а будут делаться бэкапы после таких манипуляций?

(120) Под учеткой с правами записи вестимо.

копии делает Хранитель Гендалевский, серверок играет роль рабочей станции, т.е. на ней проверяют и почту и выходят в интернет, по ВиТерминалу к нему подключены еще пять пользователей.

Хочется автоматом, а не прыгать из учетки в учетку и делать копии, тем более меня там нет постоянно, а бух и делать не будет.

Попробуй с помощью EasyRecovery вытащить файлы.

(123) Хранитель делает дубликат на флешку, а шифровальщик не затрону почему-то флешку, вот поэтому мне повезло, восстановил и продолжают работать.

(120) Разумеется.
У пользователя который делает бэкапы - должны быть права на чтение всего что надо бэкапить, в частности теневых копий, и на запись в архив.
А вот у всех остальных, включая администраторов прав на запись в архив не должно быть.

Т.е вы зайдя админом на компьютер не должны иметь возможности удалить или изменить архив.

(124) Я вообще-то о том что если с файлами работали / шифровали / удаляли / перезаписывали всегда сохраняются предыдущие данные в виде свободных блоков.

(122)Не знаю что за хранитель такой, но не суть.
Сделай пользователя для бэкапа, убери этого пользователя из меню входа, дай ему соответствующие права, и запускай своего хранителя или чего там, под этой учеткой.
Все.
А у всех остальных отбери права на запись в бэкап.
(124) Повезло, не так давно сталкивался с шифровальщиком - все с бэкапа восстановили, а вот флешка с банковскими ключами была зашифрована, и пришлось бегать восстанавливать.

(123) Фигня полная.
Это невозможно.

(126)Чем это вам поможет?
Да запись как правило ведется в другое место, но старое место помечается свободным, а процессов осуществляющих запись у нас на компьютере дофига, поэтому все это затирается очень быстро.
И тут можно говорить не о восстановлении, а о попытке спасти некторые данные путем анализа диска - это долго, ресурсоемко, и в большинстве случаев не дает никакого эффекта.

(127) ясно, спасибо, надо делать, пока бухи в шоке, напугал их, теперь хоть с неделю думать и читать будут, что открывают на почте...

(127) гэндальф это такая кривая поделка для тех, кто не знает что такое энтибекап, шадоукопи и тупо скрипт с архиватором.

то есть если человек сказал "гэндальф" - с его квалификацией в элементарных вещах все понятно

(127) последний крипто поймали на неделе: привинченный том закрпитовал, десктоп в шаре и документы в шаре - не смог. Видимо совсем дети делали.

+ инфицирование тоже без затей, акт сверки.экзе

(130) В качестве превентивных мер - запрети хотя бы запуск программ из папки в которую качает браузер, или почтовая программа с которой они работают.
Это не панацея, но тут хотя бы появляется некоторая осознанность в действиях.

Без этого даже предупрежденный бух, на автомате, когда сроки по отчетности горят, откроет что угодно, а потом подумает.

(135) пока он будет разбираться с локальными политиками -- может быть проще ему осилить простейшие средства резервирования данных? тот же шэдоу ежедневный полностью снимет опасность грязного увольнения

(136) Ну бэкап это само собой, это даже не обсуждается.
Политики это превентивные меры, они не предотвращают опасность полностью, но несколько снижают риск.

Из бэкапа  тоже восстанавливать не самая приятная вещь- теряется время, и небольшая часть данных.

собираем урожай с выходных

http://c2n.me/3q2my8i

(5) > Даааа, женаааа.

+1
Хорошая жена сбережет вам 100-200 гб. на диске и защитит от вирусов-шифровальщиков ))))

(39) Я канеш знал, что ты параноик. Но чтоб настолько! )

(118) Давали бы за это лет по 10 всем участникам (и прогеру, и тому, кто денюжку собирает). Да с полной конфискацией в пользу пострадавших...

(115) Вчера тут приходила  в связной и спрашивала могут ли ей за деньги расшифровать....