Решена Троян зашифровал фотографии и документы

Статус
В этой теме нельзя размещать новые ответы.

pviktor85

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте! Подцепил трояна, который зашифровал все фотки ивордовские документы! Фотки за последние 8 лет - 36 000 штук! Незаражённых оригиналов фоток не осталось к сожалению. Сценарий обычный - появилось окно в котором сообщение об шифровке файлов и вымагание оплатить 50 баксов. но через пару дней пропало. Обращался на КиберФорум, не смогли помочь. Очень надеюсь на решение этой проблемы здесь. Прилагаю логи примеры заражённых фоток.
 

Вложения

  • info.rar
    4.8 KB · Просмотры: 0
  • log.rar
    11 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    25.9 KB · Просмотры: 0
  • virusinfo_syscure.zip
    26.8 KB · Просмотры: 2
  • Vojak.rar
    344.6 KB · Просмотры: 1
Ншёл! Я нашёл на отдельной флешке фотки оригинлы! Прилагаю архив оригиналов вместе с зашифроваными фотками. Очень жду помощи от вас!
 

Вложения

  • Foto.rar
    1.4 MB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\admin\local settings\temp\1C580A4D7.sys','');
 DeleteFile('c:\documents and settings\admin\local settings\temp\1C580A4D7.sys');
 DeleteService('1C580A4D7');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('1C580A4D7');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Ссылку на тему на кибере укажите
 
Выбирайте, где будете завершать лечение. Вам дали все рекомендации по отправке файлов.

В настоящее время расшифровать файлы невозможно, возможно только следующее:

Итак все дальнейшие операции делайте на свой страх и риск только на копии зашифрованного файла - иначе можете потерять все, ничего не восстановив.

Для фотографий пробуйте JPEG Ripper. (Open Files - Progress).

Для документов небольших размеров можно использовать демо-версии officerecovery:
Восстановить документ Word
Восстановить файл Excel

для больших документов только платную версию.

Далее на свой страх и риск можно попробовать скопировать любым шестнадцатеричным редактором первые 100 байт из незашифрованного файла в зашифрованный такого же формата - экспериментируйте только на копиях.

У меня не получалось таким образом восстановить doc и получалось docx.

Эту же операцию по замене байтов можно выполнить с помощью dd for windows

Командуем в консоли:

Код:
dd bs=1c count=100 if="незашифрованный.docs" of="зашифрованный.docs"
 
новые логи

Прилагаю новые логи. Скажите, есть надежда на восстановление моих фоток на компе?
 

Вложения

  • info.7z
    4.6 KB · Просмотры: 0
  • log.7z
    10.1 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    25.4 KB · Просмотры: 0
  • virusinfo_syscure.zip
    26.1 KB · Просмотры: 1
зашифрованые фотки

перепробовал все утилиты, отсюда: https://safezone.cc/forum/showthread.php?t=17677 ничего не помогло. te162decrypt создаёт копии фала но они тоже не фотки а просто чёрный фон. я в отчаянии. всё погублено... подскажите, пожалуйста, куда ещё конкретно можно обратиться за помощью? Спасибо
 
Читал. Пробовал JPEG Ripper, не помог. Пересматривал фотки некоторые(все просто физически сразу не смогу:confused: ) увидел что некоторые фотки te162decrypt разшифровал, очень малый процент с общего. Ну в каждой папке по разному, где-то 2 фотки, где то 4. Уже прогрес. Может быть, если его пару раз запустить, то сможет и другие разшифровать? :sorry:

Добавлено через 13 минут 22 секунды
Снова есть прогрес! Фотки разшифровуются всё больше! помогает всё тот же te162decrypt.exe Не все но уже очень значительно больше. Надеюсь это будет позитивная тенденция! Спасибо всем за помощь. Проблема решена, слава Богу.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу