Перейти к содержанию

Помогите расшифровать (на основе текстового файла) - активация 9 августа


Рекомендуемые сообщения

Алексей Тяжельников

Был в отпуске.
В мое отсутствие на компьютере запустили вирус.
9 августа 2016 вирус зашифровал кучу файлов.

Переустановил систему на новый диск.
Но остались ОЧЕНЬ ВАЖНЫЕ данные, которые не удалось вытащить из архивов.

В качестве образца предлагаю текстовый файл index.html (в зашифрованном и оригинальном виде)
Оба файла по ссылке в zip-архиве 
https://drive.google.com/file/d/0B__...ew?usp=sharing

Может на основе текстового файла легче найти ключ для расшифровки?
Помогите расшифровать!!!
Готов даже мотивировать!


если посмотреть эти текстовые файлы - видно что кодированию подвергнуты только первая строка начальных символов

Ссылка на сообщение
Поделиться на другие сайты
Алексей Тяжельников

Спасибо, я посмотрел эту информацию. ОС новая, винт новый - сборщик логов разве поможет?
Или нужно винду со старой системы запустить?

Ссылка на сообщение
Поделиться на другие сайты

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

Ссылка на сообщение
Поделиться на другие сайты
Алексей Тяжельников

Пришлите, если возможно, пару шифрованный-нешифрованный какого-либо doc (docx) файла. Если не найдется пары, то хотя бы образец такого шифрованного файла

есть пара doc-файлов (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfbEtkOTY4Z0k3Rmc/view?usp=sharing

 

есть пара текстовых файлов index.html (оригинал и зашифрованный)

https://drive.google.com/file/d/0B__3RAjPDIsfTlRzV0tIYVh5bk0/view?usp=sharing

Ссылка на сообщение
Поделиться на другие сайты

Похоже это дешифруется.

 

Проблема только в том, что неизвестны все подлежащие шифрованию типы файлов. Можете их отсеять как-нибудь?

Ссылка на сообщение
Поделиться на другие сайты
Алексей Тяжельников

все зашифрованные файлы  можно отделить одним критерием - у них одна дата изменения 
09.08.2016
так как я был в отпуске - никаких других изменений не было

 

я сделал каталог Old (где лежат файлы (каталоги) затронутые этим шифратором)
 

фактически затронуты оказались файлы с расширением: tar, rar, avi, mp4, doc, docx, xls, xlsx, pdf, txt, png
это основные расширения, которые я видел
если критично могу более полный список расширений привести

Изменено пользователем Алексей Тяжельников
Ссылка на сообщение
Поделиться на другие сайты

Постараюсь написать дешифратор до завтра

 

============

 

Дешифратор готов, но все шифрованные файлы придется предварительно копировать в одну папку. Для написания более серьезного дешифратора (в дальнейшем), мне необходимо знать все типы подверженных шифрованию файлов. Будет неплохо, если шифратор (или ссылка на его скачивание) сохранилась где-нибудь в почте (это наиболее вероятный путь попадания его на компьютер-жертву)

Ссылка на сообщение
Поделиться на другие сайты
Алексей Тяжельников

круто, какие условия его получения?

к вышеназванным расширениям, можно добавить .gif, .jpeg, .vob, .xml, .flv, *.tif, .php

 

Можно ли сделать так, чтобы дешифратор просматривал рекурсивно файловую структуру (или папку) и в случае если дата совпадает с 09.08.2016 пытался применить алгоритм дешифрации, но файл оставался на месте в своем каталоге

P.S.
каким то образом злоумышленник смог зайти как удаленный пользователь с доменным логином в локальной сети смог зайти на компьютер, запустил под своим профилем hash bitcoin miner

судя по тому что в профили лежит архив - есть предположение, что он же качнул (случайно возможно) троян - и этот троян привел к шифрации всех файцов, которые лежали вне профиля, в определенный день 09.08.2016
на страром жестком диске я ничего по моему не удалял - могу какие-то диагностические (собирающие логи) программы запустить - если это поможет выцепить 
могу под teamviewer запустить - чтобы вы могли увидеть какие-то специфические увидеть отметки?

Изменено пользователем Алексей Тяжельников
Ссылка на сообщение
Поделиться на другие сайты

Сейчас времени на реализацию нормальных проверок по сигнатурам (по дате тоже, тем более это не универсальный вариант) катастрофически нет (начало учебного года, масса необходимых к заполнению бумажек и т.д.).

 

Мне хотелось бы получить от Вас примеры avi, tar, tif, php, vob, flv и тот архив, который оставил после себя злодей. Все это добро выложите одним архивом и пришлите ссылку мне в ЛС. В ответ получите имеющуюся версию дешифратора

Ссылка на сообщение
Поделиться на другие сайты
Алексей Тяжельников

а данный дешифратор можно организовать в виде командного файла - где на входе поступает файл с полным путем?
я бы может быть попробывал бы написать бат-файл - и в нем вызывал бы дешифратор для нужных файлов!
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...