Перейти к содержанию

Помогите расшифровать (на основе текстового файла) - активация 9 августа

Алексей Тяжельников

От Алексей Тяжельников
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Алексей Тяжельников Новичок

Алексей Тяжельников

Опубликовано
Опубликовано

Был в отпуске.
В мое отсутствие на компьютере запустили вирус.
9 августа 2016 вирус зашифровал кучу файлов.

Переустановил систему на новый диск.
Но остались ОЧЕНЬ ВАЖНЫЕ данные, которые не удалось вытащить из архивов.

В качестве образца предлагаю текстовый файл index.html (в зашифрованном и оригинальном виде)
Оба файла по ссылке в zip-архиве 
https://drive.google.com/file/d/0B__...ew?usp=sharing

Может на основе текстового файла легче найти ключ для расшифровки?
Помогите расшифровать!!!
Готов даже мотивировать!


если посмотреть эти текстовые файлы - видно что кодированию подвергнуты только первая строка начальных символов

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников Новичок

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано

Спасибо, я посмотрел эту информацию. ОС новая, винт новый - сборщик логов разве поможет?
Или нужно винду со старой системы запустить?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников Новичок

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

есть пара doc-файлов (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfbEtkOTY4Z0k3Rmc/view?usp=sharing

 

есть пара текстовых файлов index.html (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfTlRzV0tIYVh5bk0/view?usp=sharing

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Похоже это дешифруется.

 

Проблема только в том, что неизвестны все подлежащие шифрованию типы файлов. Можете их отсеять как-нибудь?

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников Новичок

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано (изменено)

все зашифрованные файлы  можно отделить одним критерием - у них одна дата изменения 
09.08.2016
так как я был в отпуске - никаких других изменений не было

 

я сделал каталог Old (где лежат файлы (каталоги) затронутые этим шифратором)
 

фактически затронуты оказались файлы с расширением: tar, rar, avi, mp4, doc, docx, xls, xlsx, pdf, txt, png
это основные расширения, которые я видел
если критично могу более полный список расширений привести

Изменено пользователем Алексей Тяжельников
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Постараюсь написать дешифратор до завтра

 

============

 

Дешифратор готов, но все шифрованные файлы придется предварительно копировать в одну папку. Для написания более серьезного дешифратора (в дальнейшем), мне необходимо знать все типы подверженных шифрованию файлов. Будет неплохо, если шифратор (или ссылка на его скачивание) сохранилась где-нибудь в почте (это наиболее вероятный путь попадания его на компьютер-жертву)

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников Новичок

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано (изменено)

круто, какие условия его получения?

к вышеназванным расширениям, можно добавить .gif, .jpeg, .vob, .xml, .flv, *.tif, .php

 

Можно ли сделать так, чтобы дешифратор просматривал рекурсивно файловую структуру (или папку) и в случае если дата совпадает с 09.08.2016 пытался применить алгоритм дешифрации, но файл оставался на месте в своем каталоге

P.S.
каким то образом злоумышленник смог зайти как удаленный пользователь с доменным логином в локальной сети смог зайти на компьютер, запустил под своим профилем hash bitcoin miner

судя по тому что в профили лежит архив - есть предположение, что он же качнул (случайно возможно) троян - и этот троян привел к шифрации всех файцов, которые лежали вне профиля, в определенный день 09.08.2016
на страром жестком диске я ничего по моему не удалял - могу какие-то диагностические (собирающие логи) программы запустить - если это поможет выцепить 
могу под teamviewer запустить - чтобы вы могли увидеть какие-то специфические увидеть отметки?

Изменено пользователем Алексей Тяжельников
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Сейчас времени на реализацию нормальных проверок по сигнатурам (по дате тоже, тем более это не универсальный вариант) катастрофически нет (начало учебного года, масса необходимых к заполнению бумажек и т.д.).

 

Мне хотелось бы получить от Вас примеры avi, tar, tif, php, vob, flv и тот архив, который оставил после себя злодей. Все это добро выложите одним архивом и пришлите ссылку мне в ЛС. В ответ получите имеющуюся версию дешифратора

Ссылка на комментарий
Поделиться на другие сайты
Алексей Тяжельников Новичок

Алексей Тяжельников

Опубликовано
  • Автор
Опубликовано

а данный дешифратор можно организовать в виде командного файла - где на входе поступает файл с полным путем?
я бы может быть попробывал бы написать бат-файл - и в нем вызывал бы дешифратор для нужных файлов!
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...