Virus ”how_to_decrypt”

Poate s-a mai confruntat cineva cu problema mea...
Am un prieten care a are un computer - AMX XP 1700+ si 512 DDR, deci care merge bine cu XP.
A luat un afurisit de virus ”how_to_decrypt” care i-a ”criptat” toate fisierele .doc, XLS, jpg, etc...(deci cele importante). Toate ca toate, dar are niste scheme electronice care i-ar cam fi necesare.
Cineva i-a formatat partitia C (reinstalare de XP) si pe D au ramas fisierele cu pricina (criptate), care nu se mai pot deschide cu programele obisnuite.
Cum as putea sa ii restaurez fisierele ??

Multumesc anticipat.

Mai intai afla denumirea virusului. Sigur nu este "how_to_decrypt", ci mai degraba o varianta de CryptoLocker. Iar daca este CryptoLocker, sansele sunt nule de recuperare a fisierelor.

Un antivirus a folosit vreodata prietenul tau pe PC?

dexterash, on 30 decembrie 2014 - 00:13, said:

A avut un Avira care a dezinfectat, dar, cum spuneam, fisierele au ramas criptate.Interesant e ca in fiecare folder are cate un ”gif” cu ceva de genul ”trimite 300 $ nu stiu unde si in 10 zile...” si un ”html” cu link-ul spre nu-stiu-ce site fantoma...

Nu ai nici o sansa sa recuperezi !

A "primit" un cadou ! A criptat ce a prins(doc , jpg , etc) !
Nu avea un antivir/firewall la zi si a fost "surprins"  de "next" sa vada/instaleze/citeasca ceva !

P.S.- Unde draqu misunati (ca eu ma chinui de cind a aparut astea cu criptare , nu am "prins") de le luati ?

Edited by tidicristi, 30 December 2014 - 08:47.

Sigur nu a bifat chestia cu encryption din windows (EFS)? Ca asta se comporta exact asa.

dexterash, on 30 decembrie 2014 - 00:13, said:

Exista o aplicatie care poate spune ce tip de ransomware  este dar nu pot sa inteleg de ce pe Virus Total il gaseste Detection ratio: 2 / 56   , probabil este false pozitive.      DrWeb /Trojan.MulDrop5.41969   VBA32 /Downloader.Agent            
Eu pot pune aplicatia aici sau linkul catre forum* dar am nevoie de acceptul unui moderator * (sau pot trimite pe PM unui moderator adresa catre forum sa verifice daca este in ordine,eventual sa puna apoi aplicatia la download aici),  fisierul a fost pus la download  pe forumul bleepingcomputer  (din cate stiu site-ul este de incredere) de catre un Master Surgeon General (Malware Response Team) .Nu dau nici linkul nici, nu pun fisierul pana nu primesc unda verde de la un moderator (asta fiindca are detectia 2 / 56 pe VT)

Edited by stlk, 30 December 2014 - 11:20.

Foarte probabil ca a intrat pe site-uri cu meciuri de fotbal si acoli i-a intrat ”ai nevoie de nu stiu-ce codec” si... A instalat ceva... Avira era cam vechi, probabil ca nu a ”sesizat” si....

Nu e problema de la ”encryption” din Windows.

Multumesc, oricum...

stlk, on 30 decembrie 2014 - 10:53, said:

Multumesc. Oricum, partitia C (cu Windows) a fost formatata. Au mai ramas fisierele de pe D care nu se mai pot deschide. (jpg, doc, xls), care erau importante. La scanare cu mai multi antivirusi nu a fost descoperit niciun virus,asa ca... Am facut o copie a fisierelor criptate, mutate pe un alt hard, in caz ca voi gasi o aplicatie care repara...

mihai_lazarov, on 30 decembrie 2014 - 10:57, said:

Nu ai inteles,daca stii exact ce tip de "virus"  a facut asta, e posibil sa gasesti metode de decriptare a fisierelor. Din cate stiu la unele variante exista metode de decriptare.

Problema e ca nu stiu, pentru ca Windows-ul a fost reinstalat...

mihai_lazarov, on 30 decembrie 2014 - 11:04, said:

Mda,aici sa stii ca ai dreptate fiindca aplicatia respectiva cred ca dadea "numele virusului" dupa ce scana registrii si alte lucruri. Nu stiu insa daca scaneaza fisierele criptate sa poata da un nume,e posibil sa-si dea seama si dupa extensia fisierelor criptate (din cate am observat fiecare tip de "virus" le da anumite denumiri la extensiile fisierelor criptate, de exemplu Critroni adauga extensia .ctb2  Din pacate eu nu am cum sa testez aplicatia ca nu am vreun tip de "virus" din asta care cripteaza in PC si nici vreun fisier criptat  . Fisierele criptate care zici ca au ramas ce extensie au ?

Edited by stlk, 30 December 2014 - 11:19.

tidicristi, on 30 decembrie 2014 - 08:44, said:

ma crezi ca eu am auzit aseara citind topicul asta de asa ceva? si am doar defender

mihai_lazarov, on 30 decembrie 2014 - 10:57, said:

Meciuri de fotbal, a zis cineva altceva?

Edited by MooF2010, 30 December 2014 - 13:37.

tidicristi, on 30 decembrie 2014 - 08:44, said:

Auzi?! Zi, Doamne fereste sa te loveasca un astfel de virus,malware sau ce-o fi ala! La noi in service,a venit o doamna cu un calculator infectat cu un astfel de virus.Calculatorul avea antivirus la zi... care credeti? Mult premiatul si laureatul BitDefender Total Security... care a "facut pe el" in fata acestei infectii. Cu toate restore point-urile,scanarile... Kaspersky Rescue Disk... Malwarebytes... toate ... niciunul nu a reusit decriptarea. Am folosit si alte programe de scanare,folosind esantioane din fisierele criptate,am luat netul la puricat si pe muchie si pe diagonala... nimic,femeia a pierdut TOT! Nu avea salvat nimic in alta parte (HDD extern,Stick de memorie,CD-uri,DVD-uri)! Erau numai documente contabile,acte,fisiere Revisal,Saga... cei ce se ocupa de contabilitate,stiu ce spun!
Acum, HDD-ul cu pricina se afla la "mari mesteri" ... o firma din Bucuresti specilalizata in recuperari date de pe HDD-uri,stick-uri si alte medii defecte sau deteriorate.Am intrat in 2015 si firma cu pricina,cauta solutia decriptarii din... 16 decembrie! Au cerut de la obraz 1000 de Euro si tot n-au facut nimic! Bine... banii nu i-au cerut in avans dar nici cu miza asta pe masa,nu au gasit inca "leacul"!
Asa ca,draga prietene... nu-ti dori astfel de virusi! Salveaza TOT ce ai in computer si pe un HDD extern care-l pastrezi (NECONECTAT la calculator) ,intr-un loc sigur.
Daca te "loveste" o infectie din asta, rade tot din HDD,da format COMPLET si apoi pune Windows-ul din nou!
LA MULTI ANI!

Edited by Tehnicianul1970, 01 January 2015 - 03:20.

Tehnicianul1970, on 01 ianuarie 2015 - 03:14, said:

Pai ce rahat pansat sa mai faceti cu solutiile de devirusare cand problema este "criptarea"? Sau nu ati inteles ce presupune acest lucru?

Nici o solutie de securitate nu poate "invinge" dorinta unor utilizatori. Iar daca respectiva doamna folosea PCul ca instrument de lucru, dar a zis ca nu o intereseaza backup&co - a primit ce si-a dorit. Data Aviatoare sa faca contabilitate pe hartie, nu informatizat daca nu intelege cum functioneaza sau a urmarit doar scopul de a castiga mai multi bani intr-un timp mai scurt.

Tehnicianul1970, on 01 ianuarie 2015 - 03:14, said:

Poate la 10.000-50.000 de euro s-ar gasi o solutie (POATE!). In rest, 1000 de euro este frectie la picior de lemn (adica 1/3 din salariul unui simplu programator si voi va asteptati la recuperari de date?!)

Tehnicianul1970, on 01 ianuarie 2015 - 03:14, said:

Pai nu-si doreste, de aceea are grija sa nu ii "pescuiasca".

Tehnicianul1970, on 01 ianuarie 2015 - 03:14, said:

Daca...

Tehnicianul1970, on 01 ianuarie 2015 - 03:14, said:

Sa fie! Si voua! Si ochii mai mari la tot ceea ce folositi pe PCuri!

@dexterash,nu pot decat sa-ti spun ca ai perfecta dreptate si un MARE Like de la mine! Jos palaria!
LA MULTI ANI! Sanatate,un an cu impliniri!

Edited by Tehnicianul1970, 01 January 2015 - 12:12.