Решена Зашифрованы файлы *.jpg

Статус
В этой теме нельзя размещать новые ответы.

Dedko

Новый пользователь
Сообщения
7
Реакции
1
Вирус error.exe зашифровал все файлы *.jpg, вернее начальные 100 байт каждого файла. Как здесь уже мне подсказали, зашифровал с помощью алгоритма Blowfish.

Имеются в архиве [удалена ссылка со зловредом] 2-ва jpg файла зашифрованные и не зашифрованные.
Заголовки оригинальных jpg отличаются только содержимым 5-го 6-го байтов. А зашифрованные же эти файлы уже отличаются друг от друга первыми 8-ми байтами, причем остальные 92 совпадают.(видимо алгоритм шифрует блоками по 8 байт(64 бит).

Также в архиве присутствуют файлы, которые появились в момент заражения. То есть появился файл error.exe в папке windows. А также файл system.log, в котором вероятно хранится ключ. Остальное расположение прочих файлов показано в файле Жду ответов, рекоммендаций и помощи!
 

Вложения

  • virusinfo_syscheck.zip
    25.9 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30.1 KB · Просмотры: 3
  • info.txt
    22.1 KB · Просмотры: 0
  • log.txt
    35 KB · Просмотры: 2
Последнее редактирование модератором:
Приветствую Dedko, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
Про system.log спрошу у аналитика
Пока же займемся чисткой следов вирусных

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Users\Лера\appdata\roaming\microsoft\taskhost.exe','');
 QuarantineFile('C:\Windows\error.exe','');
 DeleteFile('C:\Windows\error.exe');
 DeleteFile('D:\Users\Лера\appdata\roaming\microsoft\taskhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Добавлено через 12 минут 10 секунд
f0ue80kr.exe - резервная копия taskhost.exe. Тоже удалите
 
Последнее редактирование:
Выполнил оба скрипта.
Отчет в виде quarantine.zip отправил при помощи указанной формы.
Удалил резервную копию f0ue80kr.exe
Новые логи:
 

Вложения

  • info.txt
    22.1 KB · Просмотры: 0
  • log.txt
    35.1 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    25.6 KB · Просмотры: 1
  • virusinfo_syscure.zip
    27.3 KB · Просмотры: 1
quarantine.zip отправил при помощи указанной формы
Продублируйте этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

По форме не дошло

Добавлено через 7 минут 32 секунды
+

Выполните такой скрипт:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\Windows\Temp\TS_2546.tmp');
 DeleteFile('C:\Windows\Temp\TS_2E8E.tmp');
 DeleteFile('C:\Windows\Temp\TS_2F1B.tmp');
 DeleteFile('C:\Windows\Temp\TS_39BB.tmp');
 DeleteFile('C:\Windows\Temp\TS_3AA6.tmp');
 DeleteFile('C:\Windows\Temp\TS_4352.tmp');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Ymrad', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Ymrad');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Pyiwa', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Pyiwa');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Riav', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Riav');
 DeleteFileMask('D:\Users\Лера\AppData\Roaming\Fogew', '*.*', true);
 DeleteDirectory('D:\Users\Лера\AppData\Roaming\Fogew');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(true);
end.
 
Отправил на указанный адрес архив quarantine.zip
Выполнил указанный скрипт
Логи:
 

Вложения

  • virusinfo_syscure.zip
    26.2 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    25.5 KB · Просмотры: 0
  • log.txt
    34.7 KB · Просмотры: 1
Файл:

Код:
D:\Users\Лера\AppData\Roaming\oemfpc.dat
удалите вручную

По заражению: чисто

Ждем ответа аналитиков
 
Вручную удалил файл oemfpc.dat.
 
В system.log заксорена строка - UniqueNum 129952156244999153
Это Backdoor.Buterat (taskhost.exe) докачал

Расшифровать файлы на данный момент не представляется возможным. Увы
 
Если Вас устроит, то возможно частично восстановить файлы jpg c понижением качества утилитой JPEG Ripper 1.22. Открываете файлы кнопкой Open File(s) и нажимаете кнопку Progress.

Выполняйте данную процедуру на свой страх и риск на копиях зашифрованных файлов.
 
Если Вас устроит, то возможно частично восстановить файлы jpg c понижением качества утилитой . Открываете файлы кнопкой Open File(s) и нажимаете кнопку Progress.

Выполняйте данную процедуру на свой страх и риск на копиях зашифрованных файлов.

Попробовал восстановить 1 файл, полностью восстановился и без потери качества, столько же весит и на глаз вроде один в один. Это очень интересно!
Остальные фотки на домашнем компе, позже буду пробовать с ними. Спасибо большое за программу!
P.S. - как только прогоню по всем фоткам, о результатах сразу отпишусь! (фоток около 92 гигов).
 
Качество сжатия и размер остаются - количество точек на дюйм уменьшается.
Все правильно. Количество точек на дюйм хранится в заголовке файла *.jpg. Так как фотки делались на Nikon там по умолчанию 300 dpi в *.jpg. Например в том же Canon по умолчанию вообще 72 dpi в заголовке *.jpg.
Программа JPEG Ripper в заголовке делает 96 dpi.(так как заголовок запорчен шифрофальщиком, она не может его восстановить, а восстанавливает видимо фотку по другим данным, которые шифровальщик не затронул).
А один из главных атрибутов "разрешение" фотографии остался!
То есть в фотошопе можно 96 dpi заменить на 300 dpi. (этот параметр важен только при печати)

Про dpi с другого форума ixbt.com:
Sub написал(а):
По-моему это уже сто раз обсуждалось...
Те dpi, что записаны в Exif практически ни на что не влияют. (у меня кстати - 72dpi gigi.gif )
Важно как раз количество точек и размер печатаемой фотки.
Исходя из этого можно посчитать dpi. (Например, при 2592х1944пикселях и 20х15см получим 2592:20=129,6 пикселей на сантиметр или 129,6х2,54=329,184dpi)
Желательно в лабу приносить файл с расчетным dpi не менее 300.

Другими словами - если в лабу принести не кадрированный снимок с 5Мп камеры и сказать чтобы напечатали 15х20см (неважно сколько там dpi в Exif) то будет 330dpi, что очень неплохо. smile.gif

P.S. Про фотки: конечно, программой на всех еще не проверил, но рендомом выбрал 10 штук все открылись точь-в-точь такого-же качества. И думаю все остальные откроются. Ребята, спасибо огромное, всем кто участвовал за помощь!:victory::):victory:

Добавлено через 5 минут 39 секунд
И да, тему я думаю можно закрыть! Жаль что это информация доступна для всех, в том числе, кто и сам пишеть шифровальщики, так как в дальнешем они их модифицируют, и уже будет намного сложнее восстановить зашифрованные файлы, а пока они шифруют по 100 байт, можно спасаться данной программой! Всем спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу