Что нового

[Криптография] Вирус зашифровал файлы

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
Возможно, кто то уже сталкивался с таким. После вирусной атаки файлы картинок или документов нельзя открыть. Читал в инете, что пользователи лицензионного Доктора Веба могут дать заявку в его контору на дешифровку..А как быть другим?
прилагаю пример "испорченного" файла - скачать
 
Автор
joiner

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
вобщем, получилось без дополнительной информации. использовал статью
http://webcache.googleusercontent.com/search?q=cache:--BKqqxA7SAJ:aitishnic.blogspot.com/2012/03/blog-post.html+&cd=1&hl=ru&ct=clnk&gl=ru
статья Борьба с вирусами семейства Trojan.Encoder (вирусы-
шифровальщики)

для таких файлов, пример которых я показал, использовал утилиту te94decrypt.exe
качал отсюда - te94decrypt.exe
написал в батнике строку
Код:
te94decrypt.exe -k 326 C:\Users\Brut\Desktop\1\1\abstract-black-4.jpg.a
и запустил его в папке где сама утилита и зашифрованный файл. утилита предупредила, что нет спецфайла..и выдала на выходе почти 500 вариантов расшифровки..правда расширение не .jpg..
с помощью автоит сделал переименование всех файлов и нашел вариант расшифровки, соответствующий оригиналу.



Добавлено:
Сообщение автоматически объединено:

оригинал статьи про шифровальщиков https://st.drweb.com/static/new-www/files/Borba_s_virusami_2012.pdf
тема так и называется Борьба с вирусами семейства Trojan.Encoder (вирусы-
шифровальщики)
так как ссылки в статье не работают, привожу новые
К зашифрованным файлам добавилось одно из расширений: .icq550946977, .pizdec, .GpCODE, .а. Указывает на вирус Trojan.Encoder.94.
http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe
---------------------------------------------------------------------
К зашифрованным файлам добавилось одно из расширений: .korrektor, .exe, .bloc, .gggg, .diablo, .cool, .vhd, .mmm, .kis, .mis, .web. Любое из них могут иметь файлы, зашифрованные Trojan.Encoder.71.
http://download.geo.drweb.com/pub/drweb/tools/te71decrypt.exe
------------------------------------------------------------------
К зашифрованным файлам добавилось расширение .Crypted. Результат деятельности Trojan.Encoder.91.
http://download.geo.drweb.com/pub/drweb/tools/te91decrypt.exe
---------------------------------------------------------------------
Расширение файлов не меняется, на рабочем столе появляется сообщение с требованием оплаты и данными для платежа. Также в конец зашифрованных файлов добавились строки вида: "B3E36CB6475B5EB08D9507E09A0978880C28E1E3F6497B93C945738DB5D7B31DC2BDBFDF14E797DC". Этим отличается Trojan.Encoder.102.
http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
 
Автор
joiner

joiner

Модератор
Локальный модератор
Сообщения
3,556
Репутация
628
не начинаю новую тему. случай похожий. действие вируса. файл расширение не поменял
пробовал с десяток разных программ для восстановления поврежденных фото формата jpeg. ни одна не дала положительного результата. в одном случае прога для восстановления ругнулась на то, что поврежден заголовок..хотя это может быть просто стандартная отговорка.
может у кого есть мысли по восстановлению?
пока я считаю, что файл поврежден. хотя сам диск в норме (жесткий диск)
скажу сразу, что это не моя работа, а просто добровольная помощь пользователю.
сами файлы
http://www.fayloobmennik.net/3751138
http://www.fayloobmennik.net/3751139
 
Верх