Показано с 1 по 8 из 8.

Вирус зашифровал файлы!!! RectorDecryptor не спасает, пишет Unknown Trojan-Ransom.Win32.Rector modification (заявка № 140607)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    3
    Вес репутации
    13

    Вирус зашифровал файлы!!! RectorDecryptor не спасает, пишет Unknown Trojan-Ransom.Win32.Rector modification

    Архив: http://rghost.ru/46833343
    Пароль на архив: crypt2013

    Помогите расшифровать?

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Natterum, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Ну так если спецутилита не справилась, чем можем помочь мы?
    Сообщение вымогателя процитируйте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    3
    Вес репутации
    13
    Текст на картинке: "Злая мамка ни дает шкальнику денег на марожено патамушка школьник плохо учица паэтаму школьник взламал твой компутер школьник создал ацкей вирус который праглатил все тваи фаелы такие как jpg doc pdf 1c папробуй открой их!
    пиши на школо почту skoolnick@yahoo.com
    саобщи на почту этот 5ka код и школьник скажет сколька денег он хочет на мароженое и как вернуть фаэлы"

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Да, совершенно новая модификация
    Дешифраторов пока не встречалось в открытом доступе
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    3
    Вес репутации
    13
    Я пробывал через Hex Comparison восстановить файлы по инструкции

    О старухе Шапокляк. У меня были исходные файлы и поэтому получилось обнаружить как он работает. Я не компьютерщик, поэтому попробую объяснить простым языком. Если воспользоваться каким нибудь Hex-редактором (я пользовался Hex Comparison), то можно увидеть, что этот вирус вносит изменения во всех файлах только в строки 0х0000, 0х0010, 0х0400, 0х0410, 0х0800,0х0810, 0х0с00,0х0с10, 0х1000, 0х1010, а также в конце файла добаляет целый блок набора букв и цифр, символов.
    В указанных же строках он вместо исходного кода прописывает вот такую ерунду: €€€€€€€€€€€€€€€€€€€€€€€€€ (именно такое количество значков), в двоичном коде (или шестнадцатиричном, точно не знаю) это группа восьмеров: 8888 (10 таких групп по четыре восьмерки) и один раз 88.

    Чтобы решить проблему: я заменил все значки евро на нули в указанных строказ, кроме строк 0х0000, 0х0010, потому что как понял, в этих строках содержится код о том, что файл принадлежит к программе Ворд, поэтому нужно указывать правильный исходный код. Для Ворда это: РПаЎ±б или в дургой кодировке так: D0CF 11E0 A1B1 1AE1 0000 0000 0000 0000 - в строке 0х0000 и 0000 0000 0000 0000 3E - в строке 0х0010.
    Вообще можно исходный код скопировать из любого нормального doc-файла - он один у всех.

    Блок ненужной информации в конце файла легко определяется. Doc файл заканчивается большим количеством нулей, а в испорченном файле после них вдруг начинаются набор символов. Его просто можно удалить.
    После проведения всех изменений, необходимо сохранится и все файл восстановлен (конечно с небольшими косячками, но это уже мелочь). таким образом, какие то срочные документы можно восстановить вручную.
    муторная задача, но выполнимая. Правда восстановить таким методом около 2000 документов будет невыносимо.

    А если использовать RectorDecryptor с ключем шифрования? Можете подобрать как-нибудь ключ?

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Цитата Сообщение от Natterum Посмотреть сообщение
    Можете подобрать как-нибудь ключ?
    Увы, это не смогут сделать даже специалисты в вирлабах
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    http://rghost.ru/46917293 должен помочь
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. thyrex получил(а) благодарность за это сообщение от


  • Уважаемый(ая) Natterum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Help, Unknown Trojan-Ransom.Win32.Rector modification [HEUR:Trojan.Win32.Generic ]
      От Nowhere Near в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 24.06.2013, 13:35
    2. Вирус зашифровал файлы [Trojan-Ransom.Win32.Xorist.phd ]
      От athelas в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2013, 13:25
    3. Файлы зашифрованы. Trojan-Ransom.Win32.Rector
      От Krio в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 14.06.2012, 19:57
    4. Ответов: 13
      Последнее сообщение: 30.05.2012, 15:09
    5. Ответов: 2
      Последнее сообщение: 13.05.2012, 22:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01571 seconds with 20 queries