Решена Зашифрованы файлы *.jpg

Статус
В этой теме нельзя размещать новые ответы.

Dedko

Активный пользователь
Сообщения
7
Реакции
1
Баллы
233
Вирус error.exe зашифровал все файлы *.jpg, вернее начальные 100 байт каждого файла. Как здесь уже мне подсказали, зашифровал с помощью алгоритма Blowfish.

Имеются в архиве [удалена ссылка со зловредом] 2-ва jpg файла зашифрованные и не зашифрованные.
Заголовки оригинальных jpg отличаются только содержимым 5-го 6-го байтов. А зашифрованные же эти файлы уже отличаются друг от друга первыми 8-ми байтами, причем остальные 92 совпадают.(видимо алгоритм шифрует блоками по 8 байт(64 бит).

Также в архиве присутствуют файлы, которые появились в момент заражения. То есть появился файл error.exe в папке windows. А также файл system.log, в котором вероятно хранится ключ. Остальное расположение прочих файлов показано в файле принтскрин.jpg Жду ответов, рекоммендаций и помощи!
 

Вложения

Последнее редактирование модератором:

Ботан

Злостный спам-бот
Сообщения
990
Реакции
184
Баллы
443
Приветствую Dedko, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,381
Реакции
2,446
Баллы
593
Про system.log спрошу у аналитика
Пока же займемся чисткой следов вирусных

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Users\Лера\appdata\roaming\microsoft\taskhost.exe','');
 QuarantineFile('C:\Windows\error.exe','');
 DeleteFile('C:\Windows\error.exe');
 DeleteFile('D:\Users\Лера\appdata\roaming\microsoft\taskhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Добавлено через 12 минут 10 секунд
f0ue80kr.exe - резервная копия taskhost.exe. Тоже удалите
 
Последнее редактирование:

Dedko

Активный пользователь
Сообщения
7
Реакции
1
Баллы
233
Выполнил оба скрипта.
Отчет в виде quarantine.zip отправил при помощи указанной формы.
Удалил резервную копию f0ue80kr.exe
Новые логи:
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,417
Реакции
8,771
Баллы
743
quarantine.zip отправил при помощи указанной формы
Продублируйте этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

По форме не дошло

Добавлено через 7 минут 32 секунды
+

Выполните такой скрипт:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\Windows\Temp\TS_2546.tmp');
 DeleteFile('C:\Windows\Temp\TS_2E8E.tmp');
 DeleteFile('C:\Windows\Temp\TS_2F1B.tmp');
 DeleteFile('C:\Windows\Temp\TS_39BB.tmp');
 DeleteFile('C:\Windows\Temp\TS_3AA6.tmp');
 DeleteFile('C:\Windows\Temp\TS_4352.tmp');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Ymrad', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Ymrad');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Pyiwa', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Pyiwa');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Riav', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Riav');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Fogew', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Fogew');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(true);
end.
 

Dedko

Активный пользователь
Сообщения
7
Реакции
1
Баллы
233
Отправил на указанный адрес архив quarantine.zip
Выполнил указанный скрипт
Логи:
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,417
Реакции
8,771
Баллы
743
Файл:

Код:
D:\Users\Лера\AppData\Roaming\oemfpc.dat
удалите вручную

По заражению: чисто

Ждем ответа аналитиков
 

Dedko

Активный пользователь
Сообщения
7
Реакции
1
Баллы
233
Вручную удалил файл oemfpc.dat.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,381
Реакции
2,446
Баллы
593
В system.log заксорена строка - UniqueNum 129952156244999153
Это Backdoor.Buterat (taskhost.exe) докачал

Расшифровать файлы на данный момент не представляется возможным. Увы
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,417
Реакции
8,771
Баллы
743
Если Вас устроит, то возможно частично восстановить файлы jpg c понижением качества утилитой JPEG Ripper 1.22. Открываете файлы кнопкой Open File(s) и нажимаете кнопку Progress.

Выполняйте данную процедуру на свой страх и риск на копиях зашифрованных файлов.
 

Dedko

Активный пользователь
Сообщения
7
Реакции
1
Баллы
233
Если Вас устроит, то возможно частично восстановить файлы jpg c понижением качества утилитой JPEG Ripper 1.22. Открываете файлы кнопкой Open File(s) и нажимаете кнопку Progress.

Выполняйте данную процедуру на свой страх и риск на копиях зашифрованных файлов.
Попробовал восстановить 1 файл, полностью восстановился и без потери качества, столько же весит и на глаз вроде один в один. Это очень интересно!
Остальные фотки на домашнем компе, позже буду пробовать с ними. Спасибо большое за программу!
P.S. - как только прогоню по всем фоткам, о результатах сразу отпишусь! (фоток около 92 гигов).
 

akok

Команда форума
Администратор
Сообщения
16,521
Реакции
13,090
Баллы
2,203

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,417
Реакции
8,771
Баллы
743

Dedko

Активный пользователь
Сообщения
7
Реакции
1
Баллы
233
Качество сжатия и размер остаются - количество точек на дюйм уменьшается.
Все правильно. Количество точек на дюйм хранится в заголовке файла *.jpg. Так как фотки делались на Nikon там по умолчанию 300 dpi в *.jpg. Например в том же Canon по умолчанию вообще 72 dpi в заголовке *.jpg.
Программа JPEG Ripper в заголовке делает 96 dpi.(так как заголовок запорчен шифрофальщиком, она не может его восстановить, а восстанавливает видимо фотку по другим данным, которые шифровальщик не затронул).
А один из главных атрибутов "разрешение" фотографии остался!
То есть в фотошопе можно 96 dpi заменить на 300 dpi. (этот параметр важен только при печати)

Про dpi с другого форума ixbt.com:
По-моему это уже сто раз обсуждалось...
Те dpi, что записаны в Exif практически ни на что не влияют. (у меня кстати - 72dpi
)
Важно как раз количество точек и размер печатаемой фотки.
Исходя из этого можно посчитать dpi. (Например, при 2592х1944пикселях и 20х15см получим 2592:20=129,6 пикселей на сантиметр или 129,6х2,54=329,184dpi)
Желательно в лабу приносить файл с расчетным dpi не менее 300.

Другими словами - если в лабу принести не кадрированный снимок с 5Мп камеры и сказать чтобы напечатали 15х20см (неважно сколько там dpi в Exif) то будет 330dpi, что очень неплохо.
P.S. Про фотки: конечно, программой на всех еще не проверил, но рендомом выбрал 10 штук все открылись точь-в-точь такого-же качества. И думаю все остальные откроются. Ребята, спасибо огромное, всем кто участвовал за помощь!:victory::):victory:

Добавлено через 5 минут 39 секунд
И да, тему я думаю можно закрыть! Жаль что это информация доступна для всех, в том числе, кто и сам пишеть шифровальщики, так как в дальнешем они их модифицируют, и уже будет намного сложнее восстановить зашифрованные файлы, а пока они шифруют по 100 байт, можно спасаться данной программой! Всем спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу