Перейти к содержанию
Авторизация  
Алексей Тяжельников

Помогите расшифровать (на основе текстового файла) - активация 9 августа

Рекомендуемые сообщения

Был в отпуске.
В мое отсутствие на компьютере запустили вирус.
9 августа 2016 вирус зашифровал кучу файлов.

Переустановил систему на новый диск.
Но остались ОЧЕНЬ ВАЖНЫЕ данные, которые не удалось вытащить из архивов.

В качестве образца предлагаю текстовый файл index.html (в зашифрованном и оригинальном виде)
Оба файла по ссылке в zip-архиве 
https://drive.google.com/file/d/0B__...ew?usp=sharing

Может на основе текстового файла легче найти ключ для расшифровки?
Помогите расшифровать!!!
Готов даже мотивировать!


если посмотреть эти текстовые файлы - видно что кодированию подвергнуты только первая строка начальных символов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, я посмотрел эту информацию. ОС новая, винт новый - сборщик логов разве поможет?
Или нужно винду со старой системы запустить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

есть пара doc-файлов (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfbEtkOTY4Z0k3Rmc/view?usp=sharing

 

есть пара текстовых файлов index.html (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfTlRzV0tIYVh5bk0/view?usp=sharing

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Похоже это дешифруется.

 

Проблема только в том, что неизвестны все подлежащие шифрованию типы файлов. Можете их отсеять как-нибудь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

все зашифрованные файлы  можно отделить одним критерием - у них одна дата изменения 
09.08.2016
так как я был в отпуске - никаких других изменений не было

 

я сделал каталог Old (где лежат файлы (каталоги) затронутые этим шифратором)
 

фактически затронуты оказались файлы с расширением: tar, rar, avi, mp4, doc, docx, xls, xlsx, pdf, txt, png
это основные расширения, которые я видел
если критично могу более полный список расширений привести

Изменено пользователем Алексей Тяжельников

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Постараюсь написать дешифратор до завтра

 

============

 

Дешифратор готов, но все шифрованные файлы придется предварительно копировать в одну папку. Для написания более серьезного дешифратора (в дальнейшем), мне необходимо знать все типы подверженных шифрованию файлов. Будет неплохо, если шифратор (или ссылка на его скачивание) сохранилась где-нибудь в почте (это наиболее вероятный путь попадания его на компьютер-жертву)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

круто, какие условия его получения?

к вышеназванным расширениям, можно добавить .gif, .jpeg, .vob, .xml, .flv, *.tif, .php

 

Можно ли сделать так, чтобы дешифратор просматривал рекурсивно файловую структуру (или папку) и в случае если дата совпадает с 09.08.2016 пытался применить алгоритм дешифрации, но файл оставался на месте в своем каталоге

P.S.
каким то образом злоумышленник смог зайти как удаленный пользователь с доменным логином в локальной сети смог зайти на компьютер, запустил под своим профилем hash bitcoin miner

судя по тому что в профили лежит архив - есть предположение, что он же качнул (случайно возможно) троян - и этот троян привел к шифрации всех файцов, которые лежали вне профиля, в определенный день 09.08.2016
на страром жестком диске я ничего по моему не удалял - могу какие-то диагностические (собирающие логи) программы запустить - если это поможет выцепить 
могу под teamviewer запустить - чтобы вы могли увидеть какие-то специфические увидеть отметки?

Изменено пользователем Алексей Тяжельников

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сейчас времени на реализацию нормальных проверок по сигнатурам (по дате тоже, тем более это не универсальный вариант) катастрофически нет (начало учебного года, масса необходимых к заполнению бумажек и т.д.).

 

Мне хотелось бы получить от Вас примеры avi, tar, tif, php, vob, flv и тот архив, который оставил после себя злодей. Все это добро выложите одним архивом и пришлите ссылку мне в ЛС. В ответ получите имеющуюся версию дешифратора

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а данный дешифратор можно организовать в виде командного файла - где на входе поступает файл с полным путем?
я бы может быть попробывал бы написать бат-файл - и в нем вызывал бы дешифратор для нужных файлов!
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...