Πρόβλημα με αλλαγή επέκτασης αρχείων σε windows XP

[dimitrislarisa]

Καλησπέρα,

Πριν λίγη ώρα εμφανίστηκε ένα τεράστιο πρόβλημα στον server της εταιρίας. Όλα τα αρχεία άλλαξαν επέκταση με αποτέλεσμα να μην ανοίγουν με το ανάλογο πρόγραμμα. Έχει προστεθεί στη κατάληξη του αρχείου ένα συγκεκριμένο κείμενο:

(όνομα_αρχείου.xls.id-1892057243_helpme@freespeechmail.org)

 

Διαγράφοντας αυτό το κείμενο και αφήνοντας μόνο το όνομα_αρχείου.xls αλλάζει μεν το πρόγραμμα με το ποίο ανοίγει αλλά άμα το ανοίξεις τότε φαίνεται σαν κατεστραμμένο ή έχει παράξενο κείμενο στα κελιά (του excel π.χ.) Μπορείτε να δείτε και στη φωτό.

 

Όποιος έχει κάποια ιδέα ας με ενημερώσει γιατί τα αρχεία αυτά είναι πολύ σημαντικά.

 

Σας ευχαριστώ πολύ!

[nikos903]

Cryptoιός πρέπει να είναι.... Διστυχώς.... Δες με κανένα shadow explorer μπας και βρεις τίποτα αλλά κράτα μικρό καλάθι...

Όπως και να έχει πρέπει σε όλο το δίκτυο να τρέξεις malware bytes ή hitmanpro ή superantispyware γιατί αμα έχει πάει σε όλο το δίκτυο έχεις καιρό για να καθαρίσεις.... Όπως και να έχει μην πάει κανένας να βάλει φλασάκια απο την δουλειά στο σπίτι γιατί δεν ξέρεις τι μπορεί να έχει μέσα....

Good luck.....

[NikosKallithea]

Backup δεν κανει η εταιρεια σου στα αρχεία της?

[xapxtz]

Καλησπέρα Δημήτρη δυστυχώς την ίδια ώρα περίπου το κολλήσαμε και εμείς στην εταιρεία και το εντόπισα οπτικά απο την περίεργη κίνηση που έβλεπα στο raid στον server....και όταν συνδέθηκα είδα ότι έγραφε αρχεία......εσείς πως το κολλήσατε απο mail..απο κάποιο site....εντόπισες κάτι να τρέχει...που ήταν περίεργο...εγώ σε ένα τερματικό μόνο εντόπισα ένα αρχείο ύποπτο με ονόμασία του τύπου a36tmp.exe κάπως ετσι......σε παρακαλώ αν μπορείς να μου απαντήσεις για να εντοπίσουμε σε πρώτη φάση απο που προήρθε για να μην ξανα έχουμε πρόβλημα στο παρελθόν.....απο χθες εμείς προσπαθούμε να κάνουμε recovery απο 2 backup....σε ευχαριστώ και περιμένω νέα σου.....

[dimitrislarisa]

Καλησπέρα Δημήτρη δυστυχώς την ίδια ώρα περίπου το κολλήσαμε και εμείς στην εταιρεία και το εντόπισα οπτικά απο την περίεργη κίνηση που έβλεπα στο raid στον server....και όταν συνδέθηκα είδα ότι έγραφε αρχεία......εσείς πως το κολλήσατε απο mail..απο κάποιο site....εντόπισες κάτι να τρέχει...που ήταν περίεργο...εγώ σε ένα τερματικό μόνο εντόπισα ένα αρχείο ύποπτο με ονόμασία του τύπου a36tmp.exe κάπως ετσι......σε παρακαλώ αν μπορείς να μου απαντήσεις για να εντοπίσουμε σε πρώτη φάση απο που προήρθε για να μην ξανα έχουμε πρόβλημα στο παρελθόν.....απο χθες εμείς προσπαθούμε να κάνουμε recovery απο 2 backup....σε ευχαριστώ και περιμένω νέα σου.....

Καλησπέρα,

Καταρχήν η μετατροπή των αρχείων έγινε πολύ άμεσα και μέχρι να καταλάβουμε τι έγινε ήδη είχε τελειώσει η υπόθεση. Άρχισα να ψάχνω όλους τους υπολογιστές και βρήκα έναν ο οποίος είχε το ίδιο θέμα και στα αρχεία του που είχε αποθηκευμένα στο σκληρό (οι υπόλοιποι δεν είχαν τέτοιο θέμα αλλα έβλεπαν τα αρχεία του δικτύου). Επίσης βρήκα ένα αρχείο 452.tmp το οποίο και διέγραψα. Δυστηχώς αυτο που μου είπε ο τεχνικός είναι οτι αυτη τη στιγμή είναι ένας απο τους πιο επικίνδυνους Ιους και ακόμα και αν πληρώσεις για τα αρχεία σου δε θα σου τα επιστρέψουν!!! Τελευταίο Back up αρχείων το 2014!! Καταστροφή!

[xapxtz]

Καλησπερα Δημητρη σε πρωτη φαση σε ευχαριστω για την γρηγορη απαντηση σου...και σε δευτερη φαση για να σε ενημερωσω απο οτι διαβαζα σε μια αντιστοιχη περιπτωση απο εναν Γαλλο οντως το αρχειο tmp ειναι που κανει ολη τη ζημια και μετα μεταφερεται στο δικτυο....το θεμα ειναι επειδη ολοι μεχρι στιγμης δεν καταλαβανε απο που μπηκε αυτο το αρχειο...για αυτο αν μπορεις να ρωτησεις τον τεχνικο σου αν εχει εντοπισει απο που ειναι θα μας βοηθησει αρκετα για να μην ξανα εχουμε το ιδιο προβλημα στο μελλον.Τελος αν δεν ειναι απο mail..εκτιμησεις δειχνουν οτι μπορει να εχει μπει ειτε απο μολυσμενο website..ειτε απο κενα ασφαλειας στον flash player version 19.0.207 η στον internet explorer.Σε ευχαριστω για το χρονο σου και αναμενω νεα σου.

[dimitrislarisa]

Καλησπέρα, 
Δε μπορουμε να μάθουμε ακριβώς απο που προέρχεται ο ιος. Εαν ειναι απο mail δηλαδη ή απο ενημέρωση του flash player. Τα μεν mail δε μπορουμε να τα ανοίξουμε απο τον υπολογιστή που αρχικά χτυπήθηκε απο τη κρυπτογράφηση παρόλαυτά στον συγκεκριμένο υπολογιστή έκανε εγκατάσταση ενημερώσεων τη στιγμή που τα xp δεν έχουν ενημέρωση εδώ και 3-4 μήνες αν δε κάνω λάθος.
Άγνωστα όλα!

[xapxtz]

Καλησπέρα Δημήτρη σημερα τα ξημερώματα 06:30 μου ήρθε ειδοποίηση για ύποπτο malware σε άλλο τερματικό αυτή τη φορά ότι στο folder c:\windows\autokms\autokms.exe ότι είναι μολυσμενο από malware και συνδεθηκα απομακρυσμενα όπου μεσα στο ίδιο folder...βρήκα και ένα ύποπτο tmp file όπου το έσβησα αμέσως και προληπτικά έσβησα και το αρχείο autokms.exe και τον υπολογιστή.Μετά οταν πήγα από την εταιρεία το έβαλα το antivirus να κάνει full scan...αλλά δεν εντόπισε κάτι ούτε είδα μολυσμενο αρχείο, οπότε δες σε παρακαλώ και εσύ τα τερματικά σου αν έχεις αυτό το αρχείο και αν είναι μολυσμενο. Αυτό το αρχείο είναι για την ενεργοποίηση του office οπότε μήπως υπάρχει κάποιο κενό ασφαλείας και περνάει malware.Τέλος για να γνωρίζεις η Microsoft συνεχίζει στα xp να δίνει το μηνιαίο Software malware removal tool μέσω windows update. Τελος αναμένω νέα σου να με ενγμερωσεις αν βρήκες τέτοιο αρχείο στα τερματικα σου.

[Taz33]

Καλή μέρα!
Είμαι από τη Βουλγαρία και αυτό ransomware χτυπήσει εδώ επίσης! Έχω βρει μια καλή λύση σε αυτό το site για την αποκρυπτογράφηση των αρχείων -> http://sensorstechforum.com/remove-helpmefreespeechmail-org-fff-ransomware-and-restore-encrypted-files/

Δούλεψε για μένα και ελπίζω ότι η μέθοδος που βοηθάει πάρα πολύ! Ελπίζω ότι αυτή η μετάφραση από το Google Translate δεν σας μπερδέψω!
Καλή τύχη!

[xapxtz]

Καλημέρα φίλε από Βουλγαρία ευχαριστώ για την απάντηση σου...η μετάφραση είναι σωστή...και από ότι φαίνεται από τα forum...αυτό το εργαλείο της kaspersky...κάνει δουλειά...Σε ευχαριστώ πολύ...