зашифрованные файлы

[Andrey_ka]

Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....

 

вставить выделенную цитату в окно ответа

 

 

 

xТитульный.docx Титульный.docx titdump.txt

[safety]

Дата изменения файлов какая была? Оригинальные имена файлов  изменены? добавлены дополнительно новые расширения?

[Andrey_ka]

Это был примерно 2014 год, имена файлов не изменились, расширения все правильные , единственное я выше не правильно написал, файлы совпадаю начиная с 0x12A6 включительно .... к сожалению я там, не работал вся информация скудная и не точная...

[safety]

Шифровальщиков, которые не меняли расширение немного. Один из них Spora, был очень активен в России, но в 2017 году

Шифровальщики-вымогатели The Digest "Crypto-Ransomware": Spora

Расшифровать его было невозможно, с учетом используемой надежной криптосхемы.

 

Посмотрите в данном блоге, какие еще могли быть шифровальщики ранее.

Изменено 13 марта пользователем safety

[Andrey_ka]

благодарю за помощь !!! буду изучать !