Закрыто защифровальсь файлы просит написать на почту anton_ivanov34@aol.com

Тема в разделе "Лечение компьютерных вирусов", создана пользователем alex-rorsheh, 22 ноя 2015.

Статус темы:
Закрыта.
  1. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    desk.jpg desk.jpg .. помогите расшифровать файлы. все видео документы картинка закодированы такими именами:
    email-anton_ivanov34@aol.com.ver-CL 1.2.0.0.id-QRRRSTUUVVVVWWXXYYZZAAABBCCDDEEEEFFG-19.11.2015 1@52@139877439.randomname-ORSTUVVWWWXXYYZZAABBBBCCDDEEFF.FGH.cbf
    ----
    email-anton_ivanov34@aol.com.ver-CL 1.2.0.0.id-QRRRSTUUVVVVWWXXYYZZAAABBCCDDEEEEFFG-19.11.2015 1@52@139877439.randomname-EFGGHHIIJKKLLMMMMNNOOPPQQQQRSS.TTU.cbf

    В каталоге C:\Program Files (x86)\1C. выл создан каталог . в нем файлы с 2-мя картинками и 1 текстовым файлом. Был файл info.exe но он удалился
    Содержимое текстового файла с именем "EWCGQJYGVY.MTZ":

    BCDLID
    endend
    QRRRSTUUVVVVWWXXYYZZAAABBCCDDEEEEFFG-19.11.2015 1@52@139877439


    может ктото сталкивался с таким.. и возможно ли по коду указанному в тексте дешифровать файлы?
     
  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
  3. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    mike 1, http://safezone.cc/threads/zaschifr...pisat-na-pochtu-anton_ivanov34-aol-com.26750/
    Windows 7 Ultimate Service Pack 1 (X64) переустанавливалась 7 ноябра..
    примерная дата заражения 19 ноября
    файл вируса в автозагрузке msconfig был как pr ссылался на адрес в системе C:\Program Files (x86)\1C\info.exe
    ниже в архиве 3 зашифрованные фотографии и файл FRST
     

    Вложения:

  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    Где второй лог Farbar?
     
  5. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    простите не учел его
     

    Вложения:

    • Addition.txt
      Размер файла:
      25,7 КБ
      Просмотров:
      1
  6. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    У Вас письмо через которое поймали шифровальщика сохранилось? Файл info.exe можете восстановить из карантина?
     
  7. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Через hex - редактор в конце файла нашел это. там оригинальное имя файла записывается.
    вконце массива данных заканчивается все блоком кодов с{ENCRYPTSTART}{011194125110107115000.....164081194207209195007207186171110206049208082200230035022178133124055075}{QRRRSTUUVVVVWWXXYYZZAAABBCCDDEEEEFFG-19.11.2015 1@52@139877439}{376}{CL 1.2.0.0}{key.txt}{D1DB16F250BAC10EAFACA5EBCE39B262}{2015}{2015}{31}{96}{224}{224}{288}{288}{353}{417}{417}{481}{481}{545}{545}{610}{610}{674}{674}{738}{802}{...... заканчивается ....{935}{999}{999}{1063}{1063}{1128}{1128}{1192}{1192}{1256}{1256}{1320}{1320}{1385}{1385}{BLOCKSSTART}{BLOCKSEND}{22135}{ENCRYPTENDED}

    D1DB16F250BAC10EAFACA5EBCE39B262 - не является ли он кодом дешифровки?
    --- Объединённое сообщение, 23 ноя 2015 ---
    Письмо брат не помнит где. он работает на этом компе.. оочень мноо файлов. антивирус не стоит еще.. дело в том что одну папку я востановил на рабочем столе востановлением предидущей версии. но на всех 3х дополнительных разделах все фильмы по нескольку гигов и mp3, фото архивы. мнебы хотелось вычислить код и восстановить каждый файл. Вайл info не успел востановить из удаленных.. винда затерла сектор и R-stodio его больше не отображает
     

    Вложения:

  8. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    Нет. Информация которая необходима для расшифровки Ваших файлов есть в файлах, но она зашифрована 3 RSA ключами по 2048 бит каждый.

    D1DB16F250BAC10EAFACA5EBCE39B262 - это md5 мастер-ключа.
     
  9. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    935}{999}{999}{1063}{1063}{1128}{1128} ключи каждый раз увеличиваются на 64.
    а есть какая нибуд прога чтобы вычислить 3 RSA?. мне очень интересно в этом разобраться но пока я в этом мало понимаю. хочется програмно отделать того кто кто написал вирус победой
     
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    Стойкость алгоритма RSA строится на разложении огромных чисел на простые множители. Публичные RSA ключи прописаны в самом шифровальщике. Для того чтобы разложить несколько RSA ключей по 2048 бит нужна огромная вычислительная мощность и довольно много времени. По этой причине если и писать такую программу, то она должна будет перераспределять вычисленную мощность по бруту RSA ключей между несколькими мощными компьютерами.
     
    machito нравится это.
  11. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    скорей бы уж квантовые компы появились.. Короче чтобы вернуть файлы нужен сам вирус который зашифровал все? либо все около 200 гигов потеряны
    --- Объединённое сообщение, 23 ноя 2015 ---
    а что тогда значит этот код который вирус оставил после себя?
    QRRRSTUUVVVVWWXXYYZZAAABBCCDDEEEEFFG-19.11.2015 1@52@139877439
     
  12. alex-rorsheh
    Оффлайн

    alex-rorsheh Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    найдена письмо с зараженным файлом.. Если взять вирус, можно найти ключь расшифровки?
    --- Объединённое сообщение, 24 ноя 2015 ---
    вот файл вируса. на этот раз почемуто он не открывается
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей