Решена Зашифрованы файлы *.jpg

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Dedko, 21 окт 2012.

Статус темы:
Закрыта.
  1. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Вирус error.exe зашифровал все файлы *.jpg, вернее начальные 100 байт каждого файла. Как здесь уже мне подсказали, зашифровал с помощью алгоритма Blowfish.

    Имеются в архиве [удалена ссылка со зловредом] 2-ва jpg файла зашифрованные и не зашифрованные.
    Заголовки оригинальных jpg отличаются только содержимым 5-го 6-го байтов. А зашифрованные же эти файлы уже отличаются друг от друга первыми 8-ми байтами, причем остальные 92 совпадают.(видимо алгоритм шифрует блоками по 8 байт(64 бит).

    Также в архиве присутствуют файлы, которые появились в момент заражения. То есть появился файл error.exe в папке windows. А также файл system.log, в котором вероятно хранится ключ. Остальное расположение прочих файлов показано в файле принтскрин.jpg Жду ответов, рекоммендаций и помощи!
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      25,9 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      30,1 КБ
      Просмотров:
      3
    • info.txt
      Размер файла:
      22,1 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      35 КБ
      Просмотров:
      2
    Последнее редактирование модератором: 22 окт 2012
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Dedko, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Про system.log спрошу у аналитика
    Пока же займемся чисткой следов вирусных

    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('D:\Users\Лера\appdata\roaming\microsoft\taskhost.exe','');
     QuarantineFile('C:\Windows\error.exe','');
     DeleteFile('C:\Windows\error.exe');
     DeleteFile('D:\Users\Лера\appdata\roaming\microsoft\taskhost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip при помощи этой формы

    Сделайте новые логи

    Добавлено через 12 минут 10 секунд
    f0ue80kr.exe - резервная копия taskhost.exe. Тоже удалите
     
    Последнее редактирование: 21 окт 2012
    1 человеку нравится это.
  4. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Выполнил оба скрипта.
    Отчет в виде quarantine.zip отправил при помощи указанной формы.
    Удалил резервную копию f0ue80kr.exe
    Новые логи:
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      27,3 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      25,6 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      35,1 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      22,1 КБ
      Просмотров:
      0
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Продублируйте этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    По форме не дошло

    Добавлено через 7 минут 32 секунды
    +

    Выполните такой скрипт:
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     DeleteFile('C:\Windows\Temp\TS_2546.tmp');
     DeleteFile('C:\Windows\Temp\TS_2E8E.tmp');
     DeleteFile('C:\Windows\Temp\TS_2F1B.tmp');
     DeleteFile('C:\Windows\Temp\TS_39BB.tmp');
     DeleteFile('C:\Windows\Temp\TS_3AA6.tmp');
     DeleteFile('C:\Windows\Temp\TS_4352.tmp');
     DeleteFileMask('D:\Users\Лера\AppData\Roaming\Ymrad', '*.*', true);
     DeleteDirectory('D:\Users\Лера\AppData\Roaming\Ymrad');
     DeleteFileMask('D:\Users\Лера\AppData\Roaming\Pyiwa', '*.*', true);
     DeleteDirectory('D:\Users\Лера\AppData\Roaming\Pyiwa');
     DeleteFileMask('D:\Users\Лера\AppData\Roaming\Riav', '*.*', true);
     DeleteDirectory('D:\Users\Лера\AppData\Roaming\Riav');
     DeleteFileMask('D:\Users\Лера\AppData\Roaming\Fogew', '*.*', true);
     DeleteDirectory('D:\Users\Лера\AppData\Roaming\Fogew');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    ExecuteSysClean;
    RebootWindows(true);
    end.
     
    1 человеку нравится это.
  6. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Отправил на указанный адрес архив quarantine.zip
    Выполнил указанный скрипт
    Логи:
     

    Вложения:

  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Файл:

    Код (Text):
    D:\Users\Лера\AppData\Roaming\oemfpc.dat
    удалите вручную

    По заражению: чисто

    Ждем ответа аналитиков
     
  8. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Вручную удалил файл oemfpc.dat.
     
  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    В system.log заксорена строка - UniqueNum 129952156244999153
    Это Backdoor.Buterat (taskhost.exe) докачал

    Расшифровать файлы на данный момент не представляется возможным. Увы
     
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Если Вас устроит, то возможно частично восстановить файлы jpg c понижением качества утилитой JPEG Ripper 1.22. Открываете файлы кнопкой Open File(s) и нажимаете кнопку Progress.

    Выполняйте данную процедуру на свой страх и риск на копиях зашифрованных файлов.
     
    2 пользователям это понравилось.
  11. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Попробовал восстановить 1 файл, полностью восстановился и без потери качества, столько же весит и на глаз вроде один в один. Это очень интересно!
    Остальные фотки на домашнем компе, позже буду пробовать с ними. Спасибо большое за программу!
    P.S. - как только прогоню по всем фоткам, о результатах сразу отпишусь! (фоток около 92 гигов).
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Это интересно. Обязательно отпишитесь..

    Подготовьте лог SecurityCheck by screen317
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Качество сжатия и размер остаются - количество точек на дюйм уменьшается.
     
    1 человеку нравится это.
  14. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Все правильно. Количество точек на дюйм хранится в заголовке файла *.jpg. Так как фотки делались на Nikon там по умолчанию 300 dpi в *.jpg. Например в том же Canon по умолчанию вообще 72 dpi в заголовке *.jpg.
    Программа JPEG Ripper в заголовке делает 96 dpi.(так как заголовок запорчен шифрофальщиком, она не может его восстановить, а восстанавливает видимо фотку по другим данным, которые шифровальщик не затронул).
    А один из главных атрибутов "разрешение" фотографии остался!
    То есть в фотошопе можно 96 dpi заменить на 300 dpi. (этот параметр важен только при печати)

    Про dpi с другого форума ixbt.com:
    P.S. Про фотки: конечно, программой на всех еще не проверил, но рендомом выбрал 10 штук все открылись точь-в-точь такого-же качества. И думаю все остальные откроются. Ребята, спасибо огромное, всем кто участвовал за помощь!:victory::):victory:

    Добавлено через 5 минут 39 секунд
    И да, тему я думаю можно закрыть! Жаль что это информация доступна для всех, в том числе, кто и сам пишеть шифровальщики, так как в дальнешем они их модифицируют, и уже будет намного сложнее восстановить зашифрованные файлы, а пока они шифруют по 100 байт, можно спасаться данной программой! Всем спасибо!
     
    1 человеку нравится это.
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
Статус темы:
Закрыта.

Поделиться этой страницей