Решена Троян зашифровал фотографии и документы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем pviktor85, 31 окт 2012.

Статус темы:
Закрыта.
  1. pviktor85
    Оффлайн

    pviktor85 Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Здравствуйте! Подцепил трояна, который зашифровал все фотки ивордовские документы! Фотки за последние 8 лет - 36 000 штук! Незаражённых оригиналов фоток не осталось к сожалению. Сценарий обычный - появилось окно в котором сообщение об шифровке файлов и вымагание оплатить 50 баксов. но через пару дней пропало. Обращался на КиберФорум, не смогли помочь. Очень надеюсь на решение этой проблемы здесь. Прилагаю логи примеры заражённых фоток.
     

    Вложения:

    • info.rar
      Размер файла:
      4,8 КБ
      Просмотров:
      0
    • log.rar
      Размер файла:
      11 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      25,9 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      26,8 КБ
      Просмотров:
      2
    • Vojak.rar
      Размер файла:
      344,6 КБ
      Просмотров:
      1
  2. pviktor85
    Оффлайн

    pviktor85 Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Ншёл! Я нашёл на отдельной флешке фотки оригинлы! Прилагаю архив оригиналов вместе с зашифроваными фотками. Очень жду помощи от вас!
     

    Вложения:

    • Foto.rar
      Размер файла:
      1,4 МБ
      Просмотров:
      1
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\documents and settings\admin\local settings\temp\1C580A4D7.sys','');
     DeleteFile('c:\documents and settings\admin\local settings\temp\1C580A4D7.sys');
     DeleteService('1C580A4D7');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('1C580A4D7');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


    Ссылку на тему на кибере укажите
     
    1 человеку нравится это.
  4. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    1 человеку нравится это.
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Выбирайте, где будете завершать лечение. Вам дали все рекомендации по отправке файлов.

    В настоящее время расшифровать файлы невозможно, возможно только следующее:

    Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

    Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

    Для документов небольших размеров можно использовать демо-версии officerecovery:
    Восстановить документ Word
    Восстановить файл Excel

    для больших документов только платную версию.

    Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.

    У меня не получалось таким образом восстановить doc и получалось docx.

    Эту же операцию по замене байтов можно выполнить с помощью dd for windows

    Командуем в консоли:

    Код (Text):
    dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"
     
    1 человеку нравится это.
  6. pviktor85
    Оффлайн

    pviktor85 Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    новые логи

    Прилагаю новые логи. Скажите, есть надежда на восстановление моих фоток на компе?
     

    Вложения:

    • info.7z
      Размер файла:
      4,6 КБ
      Просмотров:
      0
    • log.7z
      Размер файла:
      10,1 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      25,4 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      26,1 КБ
      Просмотров:
      1
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    1 человеку нравится это.
  8. pviktor85
    Оффлайн

    pviktor85 Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    зашифрованые фотки

    перепробовал все утилиты, отсюда: http://safezone.cc/forum/showthread.php?t=17677 ничего не помогло. te162decrypt создаёт копии фала но они тоже не фотки а просто чёрный фон. я в отчаянии. всё погублено... подскажите, пожалуйста, куда ещё конкретно можно обратиться за помощью? Спасибо
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    1 человеку нравится это.
  10. pviktor85
    Оффлайн

    pviktor85 Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Читал. Пробовал JPEG Ripper, не помог. Пересматривал фотки некоторые(все просто физически сразу не смогу:confused: ) увидел что некоторые фотки te162decrypt разшифровал, очень малый процент с общего. Ну в каждой папке по разному, где-то 2 фотки, где то 4. Уже прогрес. Может быть, если его пару раз запустить, то сможет и другие разшифровать? :sorry:

    Добавлено через 13 минут 22 секунды
    Снова есть прогрес! Фотки разшифровуются всё больше! помогает всё тот же te162decrypt.exe Не все но уже очень значительно больше. Надеюсь это будет позитивная тенденция! Спасибо всем за помощь. Проблема решена, слава Богу.
     
Статус темы:
Закрыта.

Поделиться этой страницей