כל הקבצים העיקריים אצלי במחשב:

doc, docx, pdf, jpg, xls....

אין גישה אליהם בגלל ששונתה להם הסיומת ל: dowuicf

אם היה לי לדוגמא קובץ בשם:

hello.doc

אז הוא שונה ל:

hello.doc.dowuicf

וגם כאשר אני מנסה לשנות חזרה לסיומת המקורית, אף אחד מהקבצים אינו נפתח: לתמונות אין תצוגה, ולמסמכים יש שגיאה.

שמעתי על תוכנות כופר שונות, אך לא קיבלתי שום דרישה לתשלום ואין לי תוכנות ספאם במחשב.

סוגי הקבצים שבאופן מפתיע עדיין עובדים כרגיל:

avi, bmp, exe, lnk.....

יש למישהו רעיון איך ניתן להציל את המידע?

אם אתה עורך את השם של הקובץ ומוחק את הסיומת הזאת, עדין אי אפשר לפתוח אותו?

אני לא רוצה שתערוך את כל הקבצים במחשב אחד אחרי השני, רק רוצה להבין יותר טוב את הבעיה

לא חושב שזו הבעיה. אם הסיומת לא מוכרת הוא אמור לתת לך לבחור מתוך רשימה תוכנית להפעלה.

כן, עדיין אי אפשר לפתוח אותו כפי שכתבתי בהתחלה.

והתמונות המצורפות מראות מה קורה לאחר שאני מנסה לשנות את שם הקובץ ואז מנסה לפתוח אותו.

לא מוצא שום מידע על הסיומת הזאת באינטרנט.

א) למה אין לך אנטיוירוס?

ב) למה אתה מוריד ומריץ דברים ממקורות מפוקפקים?

1) הרושעה שביצעה את הדבר עדיין קיימת במערכת אם לא הסרת אותה.

2) לא בטוח שתוכל להסיר אותה.

3) גם אם תסיר אותה הדרך היחידה שתוכל להשמיש את הקבצים במקרה שאלו עברו הצפנה זה אם תלמד קריפטולוגיה.

ד) אם היית עושה גיבויים למידע החשוב לך היית נמצא במצב הרבה יותר טוב.

ה) איפה (ג)?

תבדוק מה ה header של הקובץ עם notepad++ או משהו. יש סבירות הוא באמת הוצפן ע"י ransomware.

תודה רבה על המענה.

על השאלות "למה" , כמובן שאצטרך לענות בשלב כלשהו ועל חלקן כבר עניתי. (יש אנטי וירוס, לא מתעסק עם מפוקפקים אך איני המשתמש היחיד על המחשב, יש גיבוי בכונן קשיח חיצוני וגם הוא נדפק...)

אבל השאלה העיקרית בפוסט הזה היא "מה" ניתן לעשות כרגע?

האם מבחינתך התשובה היחידה היא ללמוד קריפטולוגיה? (שמבחינתי זה אומר לוותר על המידע)

תיאורטית אם יש לך קובץ מקורי שלא עבר שינוי(על DOK או משהו) ואת אותו קובץ בדיוק שעבר את ההצפנה, אז עם כמה כלים מתאימים תוכל לפענח את ההצפנה יחסית בקלות.

תבדוק מה ה header של הקובץ עם notepad++ או משהו. יש סבירות הוא באמת הוצפן ע"י ransomware.

כשאתה אומר לבדוק header

אתה מתכוון לפתוח את אחד הקבצים באמצעות notepad?

Notepad++

Notepad++

פתחתי את אחד הקבצים (DOCX)

באמצעות NOTEPAD++

וקיבלתי את מה שמופיע בתמונה המצורפת

- - - תגובה אוחדה: - - -

תיאורטית אם יש לך קובץ מקורי שלא עבר שינוי(על DOK או משהו) ואת אותו קובץ בדיוק שעבר את ההצפנה, אז עם כמה כלים מתאימים תוכל לפענח את ההצפנה יחסית בקלות.

האם זה גם מעשי?

אתה יודע עם אילו תוכנות / כלים אני יכול להשתמש?

אני מצטער להגיד לך, אבל זה לא קובץ docx. כנראה שהחדשות דיי רעות.

האם זה גם מעשי?

אתה יודע עם אילו תוכנות / כלים אני יכול להשתמש?

אני מניח שזה מעשי.

אני מניח שתוכנות קיימות ואפשר למצוא אותם.

שאפשר ללמוד איך להשתמש בהם.

שסך כל המידע הדרוש כדי להגיע מנקודה אחת לשניה הוא לא גדול או קשה במיוחד אחרי שיודעים אותו.

אני מניח שיש סיכוי גבוה שהנוזקה שביצעה את ההצפנה עושה שימוש בכלי נפוץ ואינה מלאכת מחשבת של פורץ מתוחכם במיוחד.

דבר שמגדיל את הסיכוי להפוך את ההצפנה.

קודם כל תמצא ותסיר את הוירוס.

אם תוכל למצוא אותו ולהסיר אותו אז סביר להניח שתוכל לדעת עליו פרטים שיעזרו לך.

פותח הדיון - יש לא מעט וירוסים ונזוקות שעיקר נזקן הוא בכך שהן מצפינות את המידע אשר בקבצים בדיסק (ransomware )

זה נראה לי מאוד מוכר וכדאי שתראה אם אתה יכול לשחזר את החומר מגיבוי שבוצע (אם בוצע)

בהצלחה,

גבריאל

מהאתר של קספרסקי.

If the system is infected by a malicious program of the family Trojan-Ransom.Win32.Rannoh , Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, or Trojan-Ransom.Win32.Cryakl, all files on the computer will be encrypted in the following way:

In case of a Trojan-Ransom.Win32.Rannoh infection, file names and extensions will be changed according to the template locked-<original name>.<four random letters>.

In case of a Trojan-Ransom.Win32.Cryakl infection, the tag {CRYPTENDBLACKDC} is added to the end of file names.

In case of a Trojan-Ransom.Win32.AutoIt infection, extensions will be changed according to the template <original name>@<mail server>_.<random set of characters>. Example: ioblomov@india.com_RZWDTDIC.

To decrypt files affected by Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola or Trojan-Ransom.Win32.Cryakl, use the RannohDecryptor utility.

נראה שזו לא משימה בלתי אפשרית לשחזר את הקבצים המוצפנים.

אולי מאוד פשוט אפילו, כשמזהים את סוג/כלי ההצפנה בה השתמש הוירוס.