Odzyskiwanie zaszyfrowanych plików

[loskamilos]

Witam,

mój system operacyjny to win xp professional 2002 SP3.Podczas pracy z programem Płatnik usunąłem niechcący certyfikat osobisty (panel sterowania-opcje internetowe-zawartość certyfikaty).Po czym zauważyłem że nie mogę otworzyć bardzo ważnych plików firmowych o rozsz. doc,txt, pdf itp utworzonych przed 03.02.2015 gdyż widnieje informacja że są zaszyfrowane i nie mam do nich uprawnień dostępowych.Dodam że pliki wcześniej nie były przez nikogo szyfrowane.Nie przeinstalowywałem systemu i nie formatowałem dysków.Prubowałem wrócić do okresu przez 03.02.2015 poprzez odzyskiwanie systemu ale niestety miałem wyłączone monitorowanie dysków z powodu oszczędności miejsca na dysku C.Czy da się w jakiś sposób rozszyfrować te pliki i foldery?Zauważyłem również że pliki które tworzę na bieżąco są automatycznie szyfrowane.Czy da się wyłączyć automatyczne szyfrowanie?W załącznikach przesyłam logi.Nie udało się stworzyć pełnego loga gmer ponieważ system się zawiesił,zarówno w trybie normalnym jak i awaryjnym.Załączyłem preskan.Bardzo proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[mgrzeg]

Witam na forum,

 

po pierwsze: proszę na razie nie pracować na tym komputerze, należy zacząć od odzyskania danych z dysku, a przy ciągłej pracy może się okazać, że będzie to niewykonalne.

Czy mówimy o 'zielonych plikach', czyli szyfrowaniu EFS, czy chodzi o jakiś inny mechanizm szyfrujący?

 

m.g.

[artus72]

Niestety, ale najprawdopodobniej nabawiłeś się świństwa w rodzaju CTB-Locker albo CryptoWall.

Piszę "niestety" ponieważ zaszyfrowane pliki są nie do odzyskania.

 

Utwórz wymagane forumowymi przepisami logi i poproś picasso o przeniesienie topiku do Działu Pomocy Doraźnej.

[loskamilos]

Zaszyfrowane pliki nie są podświetlone na zielono.Nie mam pojęcia co to za mechanizm

[mgrzeg]

Obawiam się, że artus72 słusznie prawi i lepiej przygotuj się na najgorsze. Wykonaj to, o co artus72 poprosił i czekaj na odpowiedź Picasso.

 

m.g.

[loskamilos]

Logi dołączyłem do pierwszego posta

[loskamilos]

Nikt nie pomoże?

[picasso]

Podczas pracy z programem Płatnik usunąłem niechcący certyfikat osobisty (panel sterowania-opcje internetowe-zawartość certyfikaty). Po czym zauważyłem że nie mogę otworzyć bardzo ważnych plików firmowych o rozsz. doc,txt, pdf itp utworzonych przed 03.02.2015 gdyż widnieje informacja że są zaszyfrowane i nie mam do nich uprawnień dostępowych.

(...)

Zauważyłem również że pliki które tworzę na bieżąco są automatycznie szyfrowane.Czy da się wyłączyć automatyczne szyfrowanie?

Nie widzę żadnych oznak infekcji typowych dla infekcji szyfrujących - nie ma także widocznego procesu, który szyfrowałby pliki na bieżąco. Moim zdaniem to nie to. Opis (o ile nie ma tu przekłamań) wskazuje inny kierunek. Nie znam tych aplikacji, więc nic więcej nie jestem w stanie powiedzieć.

 

 

PS. W GMER jest owszem poniższy odczyt, ale to wygląda na typowe ślady po usuwaniu starej infekcji Mebroot kiedyś w przeszłości. Jeśli Kaspersky TDSSKiller nic nie widzi, problemu nie ma.

 

---- Disk sectors - GMER 2.1 ----
 

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 61 !

Disk \Device\Harddisk0\DR0 PE file @ sector 78140160 !