Etter å ha kjempet med dette møkkaviruset på mange forskjellige maskiner under mange forskjellige omstendigheter, har jeg fått litt erfaring med svineriet.
På Windows 7, så har viruset tendenser til å legge seg i C:\Users\Username\Appdata\Roaming\XXX. Som regel har mappen et navn som Ylw, Ics eller tilsvarende. Derfra ligger det og sprer elendighet ut over hele maskinen, og alle eksterne hard-disker og shares som er tilgjengelig. Symantec Endpoint Protection har ikke lykkes med å stoppe det, ei heller Microsoft Forefront Security eller Trend Micro Internet Security Pro, i allefall ikke som jeg har opplevd. Jeg har scannet maskinene med free versjonen av AVG, og det har overaskende nok fungert hver gang. ComboFix kan også være et alternativ.
Jeg har ikke møtt på et tilfelle der jeg ikke har fått gjenopprettet data som har blitt kryptert av viruset. Verktøyet jeg har brukt er Te94Decrypt , som har blitt nevnt flere ganger i denne posten. Opsjonen jeg har brukt er -k 88 ( c:\te94decrypt.exe -k 88 ), det kan variere fra bruker til bruker, da det eksisterer et par varianter av viruset til nå (-k 85 og -k 87 kan også fungere).
Det anbefales å teste hvilken opsjon som fungerer for deg, før du slipper løs verktøyet fullstendig på maskinen din. Du kan f.eks lage en mappe på C:\ som heter "1aaaaa", og legge verktøyet pluss en 2-3 krypterte filer i den mappen, og deretter kjøre verktøyet med opsjonen -88. Dersom filene ikke blir dekryptert rett, slett de og prøv med en annen opsjon til du finner en som fungerer.
Verktøyet vil scanne gjennom alle stasjoner på maskinen, og dekryptere alle filer det møter på. Dette kan og vil ta tid, så ha gjerne litt tålmodighet.
Te94decrypt leser ikke eller har problemer med å lese fra minnepenner og enkelte raid-oppsett. Det anbefales at man kjører verktøyet på en vanlig HDD med FAT eller NTFS. Det aller beste hadde jo vært å fått filene kopiert over på en ekstern disk, og deretter inn på en frisk maskin.
Uansett hva resultatet blir for deg, er det anbefalt å få ut en backup, og å få reinstallert maskinen. Ene maskinen jeg trodde var friskmeldt var like herja igjen dagen etterpå, til tross for at den så helt fin ut da jeg forlot den dagen før. Så obs obs, her lønner det seg å bruke tid og være grundig.
EDIT: Som SSamiK nevner, så er det nok lurest å sende inn filen til analyse, slik at du garantert får den rette opsjonen.
