Как восстановить файлы после вируса-шифровальщика

Не так давно в интернетах появился новый вирус (и множество его модификаций), шифрующий файлы на вашем компьютере и предлагающий за деньги заказать программу для их расшифровки. При этом зашифрованные файлы переименовываются и получают имена вроде этого

DSC00122.JPG.HELP@AUSI.COM_XO101

Выделенная часть состоит из e-mail’а автора вируса (на который «жертва» вируса будет отправлять запрос на расшифровку) и идентификатора модификации вируса. Каждая модификация вируса имеет свой собственный алгоритм шифрования и соответственно, требует своего расшифровщика.

Но не обольщайтесь. Сам автор вируса запрашивает за программу баснословные деньги. На декабрь 2013 года это 2 bitcoin (в долларах — около $2000).

К счастью, разработчики из Dr.Web вплотную занялись этим вопросом и готовы предоставлять специальную утилиту, которая расшифровывает испорченные вирусом файлы. Для удобства ниже я выкладываю саму утилиту и краткую инструкцию по её использованию.

Скачать утилиту восстановления файлов help_ausi.com (пароль — имя моего сайта без «http://»)

Ниже — краткая инструкция.

Скачайте утилиту для восстановления, распакуйте архив в пустую папку с простым именем (например, «C:\_dec«). Затем запустите командную строку (Пуск — Запустить — cmd) и наберите там следующее:

cd c:\_dec

Далее введите такую строку

te102decrypt.exe -k h49 -e .HELP@AUSI.COM_XO101 -path c:\myfiles\

E20131216-172129-001[1]

Здесь «.HELP@AUSI.COM_XO101» — это префикс, с которым переименованы вирусом ваши файлы, обратите внимание на точку в начале. А c:\myfiles\ — это папка, в которой лежат ваши закодированные файлы. После запуска программа откроет окно с подтверждением

E20131216-170608-001[1]

И после нажатия на кнопку «Продолжить» начнёт автоматическое лечение. По завершению работы программы вы получите отчёт, а все раскодированные файлы будут лежать рядом с закодированными в указанной вами папке (закодированные версии файлов программа не удаляет).

E20131216-171502-001[1]

Авторы программы не гарантируют 100% лечение всех файлов, а у меня нет возможности проверить её работу на большом количестве файлов, поэтому просьба: у кого получилось вылечить этой утилитой файлы (или не получилось) — отпишитесь в комментариях.

На этом всё! Будьте здоровы!

P.S. А чтобы ситуация с заражением компьютера не повторилась вновь, приобретите уже нормальный антивирусник. Я использую Kaspersky Internet Security, но судя по всему Dr.Web тоже неплох. Поверьте моему опыту, полторы тыщи рублей в год за спокойствие и уверенность в завтрашнем дне — это смешная цена.

 

Подписаться
Уведомить о
guest
179 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Антон Покидов
10 лет назад

Изменил не все форматы файлов. jpg.HELP@AUSI.COM_XE112 оставил без изменений. Может знаете как этот файл рассшифровать?

Анонимно
Анонимно
9 лет назад
Ответить на  Антон Покидов

Такая же плачевная история… Перечитав форумы пришли к выводу, что вернули информацию те, кто заплатил. Связались по указанному адресу, в итоге вернули свое, но «невнимание» обошлось почти в 500 евро

Дисс Маг
Дисс Маг
9 лет назад

Из фоток 98% расшифровал. Я перекачал сотню утилит. Запускал Утилиты касперского из техподдержки… ниченго не помогало. Боролся с вирусом с 10 октября 2013 года. И НАКОНЕЦ-ТО!!!!! ЭТОТ ФАЙЛ ПОМОГ реально! Спасибо! П.С. не зря ждал…

Сергей Клуб
9 лет назад

Чё та ни хрена не ставится прога .Делаю вроде всё ка на картинке но вот только в командной строке у меня написано с:юзеры юзер> в место с:виндоуссистема32> (как здесь) Подскажите может как то по другому можно активировать прогу ….

Алексей Хайдуков
9 лет назад
Ответить на  Сергей Клуб

По большому счёту неважно какая папка является текущей при запуске командной строки. Если вы сделаете cd c:ваша_папка , то она изменится на нужную.

Сергей Клуб
9 лет назад
Ответить на  Сергей Клуб

пишет теперь -«системе не удаётся найти этот диск. В общем как только и не выкручивается что б прогу не запустить

Алексей Хайдуков
9 лет назад
Ответить на  Сергей Клуб

Чудес не бывает. Просто что-то неправильно пишете. Проверьте — не набрали ли русскую букву в названии диска.

Сергей Клуб
9 лет назад
Ответить на  Алексей Хайдуков

ДА я тоже так думаю но вот что не то, не пойму .Как только не пробовал набирать .

Сергей Клуб
9 лет назад
Ответить на  Сергей Клуб

Эх буду пробовать ещё .Может какие то точи или тире не нужно ставить или где то я не ставлю чего то ……….

Сергей Клуб
9 лет назад

кода я всё это напишу в командной строке ,нужно потом enter нажимать ил икак то ещё нужно делать ?????????

Алексей Хайдуков
9 лет назад
Ответить на  Сергей Клуб

Да, Сергей, после каждой строчки нужно нажимать ENTER.

Сергей Клуб
9 лет назад
Ответить на  Алексей Хайдуков

понятно .У меня папка на рабочем столе ,называется С dec значит в командной строке я должен писать c: C dec и нажать энтер?

Алексей Хайдуков
9 лет назад
Ответить на  Сергей Клуб

Если папка называется без подчёркивания, с пробелом между C и dec, то команда должна быть такая

cd «c:C dec»
и нажать ENTER. Не забудьте кавычки. Они обязательны, если в названии папки присутствует пробел.

Сергей Клуб
9 лет назад
Ответить на  Алексей Хайдуков

ну я бы не до думался без вашей помощи 100% СПАСИБО!!! Сейчас буду пробовать

Сергей Клуб
9 лет назад
Ответить на  Алексей Хайдуков

не получается пишет -Синтаксическая ошибка….

Алексей Хайдуков
9 лет назад
Ответить на  Сергей Клуб

Можете сделать скриншот окна, в котором вы набираете и где он пишет, что синтаксическая ошибка? Или лучше давайте в Skype чате пообщаемся, там удобнее.

Сергей Клуб
9 лет назад
Ответить на  Алексей Хайдуков

В скайпе конечно лучше а вот как там вас найти ……..

Алексей Хайдуков
9 лет назад
Ответить на  Сергей Клуб

Skype: ********

Vasily Fedorov
Vasily Fedorov
9 лет назад
Ответить на  Алексей Хайдуков

я тоже попался на PAYCRYPT@GMAIL_COM… никакого решения найти не смог. связался по указанной почте — вежливо 🙂 объяснили дальнейшие действия и выслали ключ после оплаты. Решить проблему можно, но небесплатно((

Сергей Клуб
9 лет назад

Нужно раскодировать файлы У меня там на флешке свадьба наша . Жена узнает будет мне хреново 🙂

Катя Васильева
9 лет назад

добрый день! Алексей подскажите пожалуйста на сегодняшний день существует ли возможность расшифровать файлы т.к. эта утилита не помогла

9 лет назад
Ответить на  Катя Васильева

Это зависит от того, какой вирус зашифровал Ваши файлы. Расскажите подробнее.

Юлия Апокина
9 лет назад
Ответить на  Катя Васильева

Попалась, оплатила 450 евро, через час
получила ключи и все расшифровала.

Ну, хоть не обманули…

9 лет назад
Ответить на  Юлия Апокина

Поздравляю, Юлия. А на будущее установите какой-нибудь хороший антивирус.

Катя Васильева
9 лет назад

вирус попал через письмо с электронной почты,я по недомыслию открыла его. на экране теперь черный цвет экрана и написано

Катя Васильева
9 лет назад

Attention! Service return of credits casinos,informs you about the arrest of your files and suspension of the operation of computer. For resolution of situation,please contact our customer.

Катя Васильева
9 лет назад

вирус заблокировал доступ или зашифровал все файлы jpg, т.е фото моего ребенка с момента рождения очень важные для меня ,теперь не знаю как быть,кто может помочь

9 лет назад
Ответить на  Катя Васильева

Пришлите пару зашифрованных фото мне на email *скрыто*, я посмотрю что можно сделать.

9 лет назад
Ответить на  Alexey Khaydukov

Удалось восстановить все файлы, используя новую версию программы te102decrypt.exe и строку параметров «-k 525 -t 8 Support@casinomtgox.com«.

Сергей Новиков
9 лет назад
Ответить на  Alexey Khaydukov

Алексей простите за беспокойство, у меня аналогичная проблема но не совсем понятны параметры, для раскодирования, у меня все файлы оканчиваются на ***.contact@casinomtgox.com
если файлы и раскодируются то потом не открываются может быть я могу выслать вам пару закодированных файлов ? Спасибо!

9 лет назад
Ответить на  Сергей Новиков

Да, высылайте, посмотрим, можно ли что-то сделать.

Евген Карпов
9 лет назад
Ответить на  Alexey Khaydukov

Аналогичная проблема, тоже .contact@casinomtgox.com …. жду вашей помощи) Спасибо заранее!!

Александр Гарагуля
Ответить на  Alexey Khaydukov

Алексей помогите пожалуйста! Аналогичная ситуация все файлы зашифрованные и фото и документы каким образом подхватил не могу понять! Ничего вроде бы постороннего не открывал и не загружал!

Катя Васильева
9 лет назад

после jpg написано на всех файлах Support@casinomtgox.com я перепробовала утилиты касперского -безрезультатно и ту что у вас на сайте

Катя Васильева
9 лет назад

Спасибо большое за внимание к проблеме моей, я вышлю Вам файлы с почты *скрыто*

Наталья Ивушина
9 лет назад

Здравствуйте, по почте получила трояна, все файлы ( а именно ворд, эксель и джипег) сейчас в формате:PAYCRYPT@GMAIL_COM. пробовала вашей утилитой вылечить — бесполезно. доктор веб сообщает: вылечено 0 файлов. помогите, мне нужно восстановить детские фото (моих детишек)

9 лет назад
Ответить на  Наталья Ивушина

Пришлите 2-3 фото мне на *скрыто*, попробую что-то найти для лечения.

Наталья Ивушина
9 лет назад
Ответить на  Alexey Khaydukov

спасибо, вышлю с ящика *скрыто*

9 лет назад
Ответить на  Наталья Ивушина

К сожалению без вариантов — для декодирования ваших файлов нужен специальный ключ, без него невозможно ничего восстановить. Ключ продаёт владелец вируса за баснословные деньги (и ещё не факт, что они пришлют вам нужный ключ или вообще что-то пришлют). Попробуйте ради интереса написать на этот email (paycrypt@gmail.com). Поэтому лучше всего немного подождать, возможно, способ будет найден в ближайшем будущем.
Вот тут есть ещё немного информации: http://virusinfo.info/showthread.php?t=161932

Игорь С
Игорь С
9 лет назад

Здравствуйте, по почте получил трояна от организации, с которой сотрудничаем, все файлы ( текстовые, картинки, ) сейчас в формате:PAYCRYPT@GMAIL_COM. Что делать? по способу, по которому Вы предлагаете ничего не получается (может я что-то не так делаю)…как с Вами связаться, может у Вас что получится?…вся электронная документация превратилась в мусор..

9 лет назад
Ответить на  Игорь С

Ваша документация действительно превратилась в мусор. С точно таким же успехом она могла бы быть просто удалена.
К сожалению для декодирования ваших файлов нужен специальный ключ, без него невозможно ничего восстановить. Ключ продаёт владелец вируса за баснословные деньги (и ещё не факт, что они пришлют вам нужный ключ или вообще что-то пришлют). Попробуйте ради интереса написать на этот email (paycrypt@gmail.com). Поэтому лучше всего немного подождать, возможно, способ будет найден в ближайшем будущем.
Немного больше информации: http://virusinfo.info/showthread.php?t=161932

Игорь С
Игорь С
9 лет назад
Ответить на  Alexey Khaydukov

Спасибо, Алексей, что уделили внимание..Последую Вашему совету..

9 лет назад

Вот что пишут авторы вируса paycrypt@gmail.com (ради интереса написал им)
——-
Добрый день!
Мы готовы Вам помочь.

Введем Вас в курс. В случае если количество файлов не превышает 4000 шт. —
140 евро (6620 рублей + 100 рублей комиссия)
Ключ можете получить уже сегодня. Тестовую расшифровку можем провести
сразу, после Вашего подтверждения.
————
Поэтому тем, у кого файлы зашифрованы именно таким образом, советую раскошелиться на ключ, а также оставить немного денег на покупку лицензионного антивируса.

Сергей Рабок
9 лет назад

Доброго времени суток, уважаемые жители форума) В общем и целом ситуация идентична, после обеда пришло письмо в бухгалтерию, с ГРАМОТНЫМ текстом и с архивом, бухгалтера не смутило что название архива корявое до нельзя, она его открыла — там ещё один документ, нажала на него и комп начал глючить. Позвонила мне, сказала как есть — я сказал что как буду за удалёнкой зайду и разберусь… Зашел вечером и ….. был очень удивлён. Многие файлы (картинки, документы, архивы) были с окончанием .paycrypt@gmail_com Почитав форумы позвонил бухгалтеру и объяснил ситуацию что или все файлы (а их получилось через WIN+F 30к+) на свалку, потому… Подробнее »

Гондурас Гондурас
9 лет назад

Взял 2 файла у потерпевшего с вирусинфо- расшифровка 2 файла без проблем, завтра попробую на целой папке

Anton  Yefimovich
9 лет назад

Сталкнулись с этой проблемой
Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024
1. Это инструкция, которая поможет разобраться с Вашей проблемой. Её решить вполне возможно, не переживайте.
2. Для решения данной проблемы нужно объединить наши общие ресурсы.
думаю дальше приводить не стоит

Самостоятельные манипуляции не помогли
пришлось обратится по адресу в письме,
Слава богу не обманули радуемся восстановленной инфе
Ну а те кто прозевал получили по шапке.

Михаил Францев
9 лет назад

помогите пожалуйста с вирусом шифровальщиком
*ссылка* это зашифрованые файлы им

9 лет назад
Ответить на  Михаил Францев

К сожалению, ваши файлы зашифрованы методом paycrypt@gmail.com, расшифровать которые без ключа невозможно технически. Только за деньги у автора вируса.

Николай Дудник
9 лет назад
Ответить на  Alexey Khaydukov

Знакомый на днях тоже попася… Платил 670 евро. Ключи ему прислали примерно через час, все расшифровал. Как просто когда у человеков есть 670 евро ненужных… Эх.

Дмитрий Шуленберг
9 лет назад

Пришел на почту файл, который по глупости открыл. Влетел на более чем 2000 рабочих документов, знакомые сказали, что вариантов расшифровать нет. написал на почту, ответила сразу, оплатил 450 евро, все вернули за час. Будьте внимательны, но если попались других вариантов как платить нет (

Alexandra Volostova
9 лет назад

У меня не получилось расшифровать. Вирус paycrypt@gmail_com

Мария Калилина
9 лет назад

День добрый, проблема в общем та же, пришло мне писмецо, увы по дурости своей я его открыла не заостряя вниманий на точный адрес (уж так совпало что я действительно давно ждала ответ по одному договору от организации с, увы похожим эл.адресом). Вот открыла и пришел к многим текстовым файлам на компе (форматов:ворд, иксель, оупен офис, еще возможно блокнотным файлам но не факт — не помню) всем известный пушной зверь. Теперь бедняги висят в компе в формате paycrypt@gmail_com. Почитала данную переписку, но то ли не внимательно, то ли так и не дошла до нужной тем: — ВОПРОС: Данный вирус остановится на… Подробнее »

9 лет назад
Ответить на  Мария Калилина

Добрый день, Мария.
Ответы:
— Нет, если он перестал шифровать, это не значит, что он не начнёт шифровать дальше. Пока вирус не уничтожен, он вправе решать самостоятельно — какие ваши файлы «кушать».
— Да, присланный ключ в подавляющем большинстве случаев работает нормально, все файлы расшифровываются. Присылают ключ всегда (я ни разу не слышал, чтобы на paycrypt отправили деньги, а ключ не получили).
— Если в Проводнике кликнуть на папку и вызвать её Свойства, то будет показано количество файлов и подпапок в ней см. (http://epsiloncool.ru/i/E20140819-221038-001.png).

Vova  Ivanov
9 лет назад
Ответить на  Мария Калилина

никто ни чего не пришлет(((((((((((

Мария Калилина
9 лет назад

То есть если нет возможности заплатить (а таковой увы нет) этот вирус так и продолжит рандомно уничтожать документы? Решит ли проблему форматирование компа (полагаю тогда вирус должен удалиться)?
Ключ выходит не только расшифровывает документы но и удаляет сам вирус? Есть ли возможность удалить вирус без ключа, пусть даже с потерей зараженных файлов?

9 лет назад
Ответить на  Мария Калилина

Вирус нужно уничтожить, для этого полечите компьютер лечилкой, например, хорошая и бесплатная лечилка DrWeb CureIt!.
И, конечно, при форматировании вирус обязательно уничтожится, но только со всеми Вашими файлами, что не всегда приемлемо.
Ключ деактивирует вирус, но без хорошего антивируса вы можете подхватить его вновь на следующий же день.

Общее решение — установите нормальный антивирус. Я рекомендую Касперский или ДокторВеб.

Мария Калилина
9 лет назад

Хорошо, благодарю, утешили (к счастью у большинства необходимых, но «умерших» файлов есть дубликат на другом носителе). На антивирусы проверили сразу (правда только:касперским, нодом32 и авг2014) и если не ошибаюсь то файлы теперь в карантине, хотя именно излечить их или удалить антивирустники почему то не предлагали (то ли это у них автоматически делается, то ли загвоздка в чем-то ином)
А можно вас малость по эксплуатировать? Не сочти-те за грубость конечно, не могли бы вы подсказать ссылку с которой безопасно можно скачать данный антивирусник? (Искать нужные программы в инете не мой конек, опасаюсь опять нарваться на что-то с «сюрпризом»)

9 лет назад
Ответить на  Мария Калилина

Зашифрованные файлы не содержат вируса, поэтому антивирусный сканнер не предлагает их удалить. Программу CureIt можно скачать отсюда (официальная страница) http://www.freedrweb.com/cureit/

Фларид Халиков
9 лет назад

Доброго времени суток форумчане! Подскажите как восстановить данные… jpg.PAYCRYPT@GMAIL_COM, doc.PAYCRYPT@GMAIL_COM

9 лет назад
Ответить на  Фларид Халиков

Эти виды кодированных файла можно раскодировать только путём отправки разработчикам вируса денег и использования полученного от них раскодировщика. Без раскодировщика (а для каждого компьютера он будет уникальным) ваши файлы всё равно что удалённые.

Фларид Халиков
9 лет назад
Ответить на  Alexey Khaydukov

жаль. Но все равно спасибо за ответ.

Анонимно
Анонимно
9 лет назад

скажите, а что делать если нет префикса в файлах, и они не открываются, размеры файлов оригинальные (как были до заражения)

9 лет назад
Ответить на  Анонимно

Нужно посмотреть бинарное содержимое файла — испорчено ли оно целиком и как именно оно испорчено, возможно, это обратимое кодирование. А бывает, что всего пара байт заменена и этого достаточно, чтобы файл перестал грузиться.

Анонимно
Анонимно
9 лет назад
Ответить на  Alexey Khaydukov

как это узнать?

9 лет назад
Ответить на  Анонимно

Любым HEX-редактором или, например, кнопкой F3 в Total Commander. Но вообще надо понимать что значат бинарные коды. Если у вас с этим напряг — пришлите пару файлов мне на email, я гляну.

Анонимно
Анонимно
9 лет назад
Ответить на  Alexey Khaydukov

высылаю вам одну из закодированных фотографий, спасибо!
P1080006 — чтоб вы узнали

9 лет назад
Ответить на  Анонимно

Посмотрел. Файл действительно зашифрован, хотя ключ, скорее всего, не такой уж и сложный. По крайней мере, в файле есть за что зацепиться. Я имею ввиду, что в интернете с большой вероятностью должен быть раскодировщик для такого рода вирусов, поищите. Кстати полезным будет узнать точное название вируса.
P.S. «Вручную» этот файл не раскодировать.

Анонимно
Анонимно
9 лет назад
Ответить на  Alexey Khaydukov

1. точное название вируса — Win32/Expiro (так его назвал AVG)
2. где поискать в интернете? подскажите пож-ста, всё что искал пока не помогло

Анонимно
Анонимно
9 лет назад
Ответить на  Анонимно

куда же вы пропали?

9 лет назад
Ответить на  Анонимно

Предлагаю вам самостоятельно поискать. Навскидку по фразе «Win32/Expiro remove virus» я нашёл множество ссылок. В частности рекомендую DrWeb CuteIt! Файлы она не восстановит, но оставшиеся тела вируса убьёт. Кстати говоря, судя по информации из сети, Expiro не шифрует картинки, а только заражает exe-шники. Вероятно, причиной является другой вирус.

Анонимно
Анонимно
9 лет назад
Ответить на  Alexey Khaydukov

вирус мы уже почистили, необходимо восстановить файлы

Мария Ковалева
9 лет назад

Ту же гадость подхватила, Веб не помог со своей поддержкой, только тут восстановили три четверти файлов *** , не бесплатно конечно, но блин очень важные документы были, мне бы за них ай яй яй было.

Радик Галиуллин
9 лет назад

Добрый день какой пароль на архив адрес сайта не подходит??

Игорь Мороз
9 лет назад

помогите така я же ситуация с префиксом не могу разобратся…как узнать его?

Анонимно
Анонимно
9 лет назад

На днях пришло странное письмо о задолженности. Думал, что со старой работы пишут. Открыл, а там алгоритм RSA-1024. Пипец! Всё мгновенно зашифровалось, всё что было нажито непосильным трудом! Злоумышленники требовали денег разумеется, и после небольших переговоров по поводу торга и гарантий, всё-таки заплатил, так как сисадмин с работы ни чего сделать не мог. Всё разблокировали в течении суток. Что же поделать, сам виноват! )))

9 лет назад
Ответить на  Анонимно

И никто не расшифрует. Алгоритмом RSA пользуются банки, чтобы передавать информацию о платежах. Этот алгоритм очень криптостойкий.

Дархан Кажмуратов
9 лет назад
Ответить на  Анонимно

Decrypt All Files lnyzusc вот такое видели? новый какой то зашифровал терь не могу разбомбить его

Дархан Кажмуратов
9 лет назад
Ответить на  Дархан Кажмуратов

кто сможет помочь прошу написать вк

Владислав Удовик
8 лет назад
Ответить на  Анонимно

Люди не верьте гостям!!! никому дешифраторы не присылают даже за деньги!!! получил такую гадость !заплатил денег ! ни через сутки ни через 2-е никто дешифратор не прислал!!! НЕ ПЛАТИТЕ потеряете деньги и не слушайте тех кто говорит » и после небольших переговоров по поводу торга и гарантий, всё-таки заплатил» о каких гарантиях идет речь когда вы общаетесь с призраком)))) РАЗВОД»»»»»»!!!!

Артур Азаров
9 лет назад

Файл «BITCRYPT2» (.bitcrypt2) можно расшифровать ?

9 лет назад
Ответить на  Артур Азаров

Надо смотреть файлы изнутри. Пришлите парочку на *****, посмотрим.

9 лет назад
Ответить на  Алексей

К сожалению, та же ситуация, что и с paycrypt — расшифровать можно, только получив ключ от «авторов» вируса за денежку. Есть слабая возможность вернуть старую версию файлов из NTFS-кэша как описано вот в этом видео http://www.youtube.com/watch?v=RH3t9wEkhXY (смотреть с 2:30), но это далеко не всегда срабатывает.

Артур Азаров
9 лет назад
Ответить на  Алексей

а если заплатить,то файлы вернуть можно ?

9 лет назад
Ответить на  Артур Азаров

Да, как правило, всё возвращают. Точнее, они присылают программу и специальный уникальный ключ, с помощью которых всё расшифровывается.

Дмитрий Харьков
Дмитрий Харьков
9 лет назад

Здравствуйте, 19.11.2014 на сервер попал вирус win32filecoder.bm и зашифровал айлы с расширением .doc, .docx, .xls, .xlsx, .pdf, .jpg (возможно и какие-то еще) зашифрованы, к концу имени файла добавлено .just.. Можно с этим что-то сделать. Очень желательно раскодировать их. В Нод32 вирус указан как Win32Filecoder.BM. Можно расшифровать?

Прописка---Регистрация Екатеринбург
Ответить на  Дмитрий Харьков

Дмитрий, добрый день! 19.11.2014 все файлы на диске С, D — doc, .docx, .xls, .xlsx, .pdf, .jpg стали зашифрованы, к концу имени файла добавлено .just.
Как решилось?
Александр. Екатеринбург.

Дмитрий Харьков
Дмитрий Харьков
9 лет назад

никак. Говорят, что никто не может их расшифровать

9 лет назад
Ответить на  Дмитрий Харьков

Подтверждаю. Система та же самая, что и с другими вирусами-«криптерами». Содержимое шифруется очень сильным алгоритмом, расшифровать который можно только при наличии ключа (ну или при наличии 10^31 лет жизни и сверхмощного компьютера). Ключ продают сами «производители» вируса за денежку. Надо было покупать нормальный антивирус. И делать бэкапы важной информации.

Марат Юсупов
9 лет назад

неверный пароль ?

Ayzak Parliament
9 лет назад

у меня пишет файл не зашифрован этими кодами что в программке
( не знаю что делать

Саша Егоров
9 лет назад

а можно XTBL Расшифровать?

Валентин Печеный
9 лет назад

а можно XTBL Расшифровать?

Анонимно
Анонимно
9 лет назад

как розшифровать фото стаким форматомФайл «QLRSGMI» (.qlrsgmi)

Анонимно
Анонимно
9 лет назад

Добрый день. Поймал вирус который зашифровал все файлы с изображениями, в том числе PDF Файлы теперь все называются mgvvhwg. Подскажите чем можно вылечиться?

Мария Ковалева
9 лет назад
Ответить на  Анонимно

грр

Анонимно
Анонимно
9 лет назад

Ну уж DrWeb и Каспер никак не назвать нормальными антивирями. Загружают проц и HDD на 100%, работать невозможно в принципе. Добро бы хоть вирусы не пропускали, а то фигня полная, пролезают спокойно. У меня вирус, запущенный под ограниченным пользователем(!) на компе, защищенном корпоративным Dr.Web(!) зашифровал не только содержимое компа, но и сетевые шары(!) А DrWeb мило говорил, что все зашибись. П-ц, а не защита.

Максим Блохин
8 лет назад
Ответить на  Анонимно

Потому что криптор — не вирус, а набор системных комманд для запуска криптора, который, к сожалению, не имеет ничего общего с вирусами.

Maxim Buravlev
9 лет назад

Подскажите пожалуйста как можно расшифровать файлы с префиксом «backyourfiles@126.com_US53». По вашему описанию выдает «расшифрованных файлов 0». Заранее спасибо.

9 лет назад
Ответить на  Maxim Buravlev

Боюсь, что никак. Алгоритм тот же самый — с уникальным хэш-ключом. Без ключа расшифровка методом перебора займёт триллионы лет.

Maxim Buravlev
9 лет назад
Ответить на  Alexey Khaydukov

спасибо за ответ. судя по всему, это какая-то обновленная версия трояна, буквально вчера очень многих коснулась такая-же проблема.

Дархан Кажмуратов
9 лет назад

Друзья помогите беда с файлами, все зашифровались, расширение и формат КИП.doc.lnyzusc, помогите

Платон Царёв
9 лет назад

Пароль для архива какой???? В комментариях могу только написать, что не нужно делать заморочек тупых, если хочешь помочь людям. Программа эта есть в сети в общем доступе без пароля, люди качайте кто не знает пароль от архива, потому что *уй его знает этот сайт, все перепробовал неверный пишет.

Петрос Панчоян
9 лет назад

КАКОЙ ПАРОЛЬ ДЛЯ АРХИВАААА????????

9 лет назад
Ответить на  Петрос Панчоян

epsiloncool.ru
это пароль ^^

Петрос Панчоян
9 лет назад
Ответить на  Alexey Khaydukov

Большое спасибо

Саша Питерский
9 лет назад

та же проблемма с XTBL форматом, помогите пожалуйста(((

Алмаз Вахитов
9 лет назад

Ребят, не понимаю: cd c:_dec что значит? У меня программа находится в c:dec как писать?

9 лет назад
Ответить на  Алмаз Вахитов

Так и писать,

cd c:dec

Эта инструкция переключает текущую папку на c:dec.

Саша Питерский
9 лет назад

напишите мне в ВК ПОЖАЛУЙСТА, кто смог восстановить файлы формата XTBL.

9 лет назад
Ответить на  Саша Питерский

Нужна пара файлов для анализа. Пришлите на ***. Спасибо.

Саша Питерский
9 лет назад
Ответить на  Alexey Khaydukov

куда прислать?

Саша Питерский
9 лет назад
Ответить на  Alexey Khaydukov

у вас есть страница ВК?

Алексей Варзин
9 лет назад

помогите ситуация девочка открыла ссылку в присланном письме все файлы офиса за шифровались она сделала проверку касперским он нашел вирусы и удалила их
в данный момент она прислала мне зашифрованные файлы .doc с расширением backyourfiles@126.com_h1R8Sx
Есть ли возможность расшифровать их

Васильев Евгений
9 лет назад

Добрый час.
У меня ничего не вышло — пишет проверено 0 файлов. Что-то делаю не так?
Моя проблема ниже в скрине

Сергей Першин
9 лет назад

Здравствуйте, у меня тоже проблема модификатором .backyourfiles@126.com_YiKUsJ
подскажите как решить данную проблему

Андре Ф
9 лет назад

ребята пишите в командной строке точное расположение. и тогда прога запустится. правда мне она не помогла(((

Евгений Фирсов
9 лет назад
Ответить на  Андре Ф

Тоже не помогла эта прога(((

Дмитрий Некрасов
9 лет назад

Помогите у меня такая же ерунда с XTBL форматом

Вячеслав Высоцкий
9 лет назад
Ответить на  Дмитрий Некрасов

у меня тож такой формат

Евгений Фирсов
9 лет назад
Ответить на  Вячеслав Высоцкий

Тоже

Данил Гришанин
9 лет назад
Ответить на  Евгений Фирсов

Тоже xtbl

Дмитрий Дмитриев
9 лет назад
Ответить на  Данил Гришанин

и у меня

Саша Питерский
9 лет назад
Ответить на  Дмитрий Некрасов

ну реально, кто знает как их восстановить? очень надо(((