RP55.RP55

Если вы заметили, что на вашем Компьютере вирус шифрует файлы...
( изменяются их расширения )

1) Немедленно выключите Компьютер.
2) Загрузите Комп. в безопасном режиме с поддержкой сети.
( чтобы не дать зашифровать оставшиеся файлы )
3) Если это общая - сеть с общими ресурсами нужно отключить доступ к сети и сами PC.
И проверить все PC сети на предмет заражения.
4) Создать свою _ отдельную тему в разделе Безопасность.

RP55.RP55

5) Если у вас были копии фотографий; документов которые вы по той, или иной причине сами удалили

Можно попробовать восстановить некоторые удалённые фотографии; документы.
Для этого воспользуйтесь программами восстановления данных.

Подробно по восстановлению.
Например у вас файлы были на флэшке/карте памяти...
Вы их скопировали на рабочий стол.
Потом удалили их с карты памяти и рабочего стола...
Перенесли их на другой диск.
Так вот, в ряде случаев можно восстановить часть удалённых вами файлов с карты памяти, или рабочего стола/мои документы и т.д.
Для этого есть специальные программы.
Бесплатные программы:

Recuva: http://soft.oszone.net/program/3479/Recuva/

Disk Digger: http://soft.oszone.net/program/7918/DiskDigger/

Можно самостоятельно подобрать программу: http://soft.oszone.net/subcat/39/?page=1

!!! Важно понимать, что устанавливать программы нужно на другой диск...
На диск на котором НЕ было важных данных.
Так, как все новые данные записываются ( могут записываться ) поверх старых данных, что резко снижает вероятность восстановить утраченные данные.
Лучше всего вообще не работать в системе ( так, как тот же браузер при работе сохраняет данные на диск ) значит идёт запись новых данных поверх старых...нужных вам.

Рекомендуется работать с LIVE CD диска, или же снять Жёсткий диск и подключить его к другому PC ( это в том случае, если ваши данные были на системном диске )
Скорая помощь - она и есть скорая помощь - не трате зря время - работайте.

6) При наличие платной версии антивируса - можно обратиться за тех. поддержкой.
В ряде случаев могут помочь - но особо на это надеяться не стоит.

7) По поводу расшифровки файлов.

Каждый раз новый код.
т.е. для шифрования файлов используется новый код.
Это как ваш логин/пароль к форуму Логин все видят а пароль знаете только вы один...
К примеру кто-то захочет подобрать пароль и сделать сообщение на форуме от вашего имени...
Как вы думаете какие шансы это сделать ?
А вирус использует пароль состоящий из десятков, а то и сотен символов.
Для расшифровки нужен супер компьютер который может потратить на расшифровку от нескольких суток до
двух-трёх месяцев или вообще не подберёт код.

RP55.RP55

Восстановление данных из резервных и теневых копий в Windows 7

http://www.oszone.net/9461/Restore

Восстановление файлов из архива
Восстановление предыдущих версий файлов и папок
Восстановление системы из заранее созданного образа

RP55.RP55

Ответ на вопрос: Если вируса нет в системе - кто удалит файлы ?
Да и кто мешает сделать копии файлов.
И зачем их удалять ? - ведь их расшифровка практически невозможна.
-----
Может удалиться следующее:
1) Ресурс/сайт который распространял вирус; вспомогательный ресурс - по получению денег; почтовый ящик злоумышленника.
Злоумышленник работает с этими ресурсами на протяжении определённого времени...
После того как ресурс вносят в чёрный список - создаётся новый...
Тоже и с почтой - со временем появляется новый ящик.
2) Данные/ключ для расшифровки на стороне злоумышленника также храниться определённое время.
Его нет смысла хранить бесконечно долго.
Пример:
Происходит атака = заражение 100 PC.
Если в течении х* дней пострадавшая сторона не проявила инициативы и не вышла на связь, то злодеям нет смысла хранить ключ.

RP55.RP55

http://www.shadowexplorer.com/upload...l/manual_4.pnghttp://www.shadowexplorer.com/

ShadowExplorer позволяет просматривать теневые копий, созданных Windows Vista / 7/8 через
Volume Shadow Copy Service.

Это особенно удобно для пользователей домашних изданий, которые не имеют доступа к теневым копиям по умолчанию, но и не менее полезно для пользователей других изданий.

Подробно о теневых копиях сказано выше.

RP55.RP55

Возвращаясь к браузерам и их расширениям.


- Сейчас есть поддельные расширения под Adblok Plus например.
- Если есть сомнение лучше удалить расширение и установить его из надёжного источника.
( лучше всего с оф. сайта разработчика )

оф. сайт: https://adblockplus.org/ru/
---
Отличить оригинал от подделки сложно.
Стоит обратить внимание на версию программы, иконку, наличае/отсутствие ссылки ведущей на оф.сайт
разработчика.

-----

А бывает, что разработчик популярного продукта продаёт расширение.
А новый владелец при обновлении запихивает в него...
рекламного агента. ( и это в лучшем случае )
как итог идёт показ рекламы.
так, что даже проверенное расширение/программа может вам изменить.

- Будьте бдительны враг не дремлет !

RP55.RP55

По проблемным сайтам.

Например у вас в браузере прописался сайт:

HI.HI.RU


Сайт/ы можно удалить. ( самостоятельно )
Откройте основное окно программы uVS
оф. сайт разработчика программы: http://dsrt.dyndns.org

1) Извлеките программу из архива.
2) Запустите uVS ( start.exe )

Вместо открытой по умолчанию вкладки: Подозрительные и вирусы.
Откройте вкладку: Скрипты.

А там правой лапой мыши по проблемной строке...
И в меню выбрать нужное действие...
------------
Это не панацея - так, как проблема может быть комплексной.
---
Удалять что-то иное в этой и других категориях идея плохая.

Если удалить что-то нужное > системное.
Система может склеить ласты. ( приказать долго жить )
Будьте внимательны.

RP55.RP55

system volume information...

C:\System Volume Information

https://ru.wikipedia.org/wiki/%D0%92...B5%D0%BC%D1%8B

С каталогом System Volume Information можно работать с Linux Live CD

Даже если system volume information были удалены то Windows сразу не удаляет данные, а только помечает их как удалённые.

И с Linux Live CD их видно: http://forum.esetnod32.ru/forum8/topic737/
---------
А затирать спец. утилитами десятки гигов. данных это история долгая и заметно влияющая на работу PC.
Злоумышленники вряд ли это будут делать.
Для эффективного затирания/уничтожения требуется несколько циклов перезаписи данных.

RP55.RP55

Что за вирус: Hoax.Win32. ArchSMS-*** ?

ArchSMS - это просто архив закрытый паролем.
Пример: Вы хотите скачать Офис...
Находите файл > скачиваете его.
Хотите установить Офис...
А вам предлагают распаковать архив за деньги.
Оплата идёт через платное SMS с телефона.
В итоге вы тратите деньги - но, не получаете желаемого...
Это называется развод... или Фишинг ( ловля рыбы )

Сам по себе файл НЕ опасен.
Его можно удалить самостоятельно - или, это сделает антивирус.

- Сообщения от антивируса могут повторяться и вызывать беспокойство...
Если файл стоит на скачивании...
Файл закачался...
Антивирус его удалил - получается, чтобы решить проблему нужно удалить закачку.

Bumblebee

Вот это все да в блог отдельный по безопасности... ну или тему закрепить, если возможно..