Перейти к содержанию

Помогите расшифровать (на основе текстового файла) - активация 9 августа


Алексей Тяжельников

Рекомендуемые сообщения

Был в отпуске.
В мое отсутствие на компьютере запустили вирус.
9 августа 2016 вирус зашифровал кучу файлов.

Переустановил систему на новый диск.
Но остались ОЧЕНЬ ВАЖНЫЕ данные, которые не удалось вытащить из архивов.

В качестве образца предлагаю текстовый файл index.html (в зашифрованном и оригинальном виде)
Оба файла по ссылке в zip-архиве 
https://drive.google.com/file/d/0B__...ew?usp=sharing

Может на основе текстового файла легче найти ключ для расшифровки?
Помогите расшифровать!!!
Готов даже мотивировать!


если посмотреть эти текстовые файлы - видно что кодированию подвергнуты только первая строка начальных символов

Ссылка на комментарий
Поделиться на другие сайты

Спасибо, я посмотрел эту информацию. ОС новая, винт новый - сборщик логов разве поможет?
Или нужно винду со старой системы запустить?

Ссылка на комментарий
Поделиться на другие сайты

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

Ссылка на комментарий
Поделиться на другие сайты

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

есть пара doc-файлов (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfbEtkOTY4Z0k3Rmc/view?usp=sharing

 

есть пара текстовых файлов index.html (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfTlRzV0tIYVh5bk0/view?usp=sharing

Ссылка на комментарий
Поделиться на другие сайты

Похоже это дешифруется.

 

Проблема только в том, что неизвестны все подлежащие шифрованию типы файлов. Можете их отсеять как-нибудь?

Ссылка на комментарий
Поделиться на другие сайты

все зашифрованные файлы  можно отделить одним критерием - у них одна дата изменения 
09.08.2016
так как я был в отпуске - никаких других изменений не было

 

я сделал каталог Old (где лежат файлы (каталоги) затронутые этим шифратором)
 

фактически затронуты оказались файлы с расширением: tar, rar, avi, mp4, doc, docx, xls, xlsx, pdf, txt, png
это основные расширения, которые я видел
если критично могу более полный список расширений привести

Изменено пользователем Алексей Тяжельников
Ссылка на комментарий
Поделиться на другие сайты

Постараюсь написать дешифратор до завтра

 

============

 

Дешифратор готов, но все шифрованные файлы придется предварительно копировать в одну папку. Для написания более серьезного дешифратора (в дальнейшем), мне необходимо знать все типы подверженных шифрованию файлов. Будет неплохо, если шифратор (или ссылка на его скачивание) сохранилась где-нибудь в почте (это наиболее вероятный путь попадания его на компьютер-жертву)

Ссылка на комментарий
Поделиться на другие сайты

круто, какие условия его получения?

к вышеназванным расширениям, можно добавить .gif, .jpeg, .vob, .xml, .flv, *.tif, .php

 

Можно ли сделать так, чтобы дешифратор просматривал рекурсивно файловую структуру (или папку) и в случае если дата совпадает с 09.08.2016 пытался применить алгоритм дешифрации, но файл оставался на месте в своем каталоге

P.S.
каким то образом злоумышленник смог зайти как удаленный пользователь с доменным логином в локальной сети смог зайти на компьютер, запустил под своим профилем hash bitcoin miner

судя по тому что в профили лежит архив - есть предположение, что он же качнул (случайно возможно) троян - и этот троян привел к шифрации всех файцов, которые лежали вне профиля, в определенный день 09.08.2016
на страром жестком диске я ничего по моему не удалял - могу какие-то диагностические (собирающие логи) программы запустить - если это поможет выцепить 
могу под teamviewer запустить - чтобы вы могли увидеть какие-то специфические увидеть отметки?

Изменено пользователем Алексей Тяжельников
Ссылка на комментарий
Поделиться на другие сайты

Сейчас времени на реализацию нормальных проверок по сигнатурам (по дате тоже, тем более это не универсальный вариант) катастрофически нет (начало учебного года, масса необходимых к заполнению бумажек и т.д.).

 

Мне хотелось бы получить от Вас примеры avi, tar, tif, php, vob, flv и тот архив, который оставил после себя злодей. Все это добро выложите одним архивом и пришлите ссылку мне в ЛС. В ответ получите имеющуюся версию дешифратора

Ссылка на комментарий
Поделиться на другие сайты

а данный дешифратор можно организовать в виде командного файла - где на входе поступает файл с полным путем?
я бы может быть попробывал бы написать бат-файл - и в нем вызывал бы дешифратор для нужных файлов!
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • lex-xel
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Mitesoro
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • Sergio1900
      От Sergio1900
      файл сканирования и пример.zip
×
×
  • Создать...