Архив: http://rghost.ru/46833343
Пароль на архив: crypt2013
Помогите расшифровать?
Архив: http://rghost.ru/46833343
Пароль на архив: crypt2013
Помогите расшифровать?
Уважаемый(ая) Natterum, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ну так если спецутилита не справилась, чем можем помочь мы?
Сообщение вымогателя процитируйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Текст на картинке: "Злая мамка ни дает шкальнику денег на марожено патамушка школьник плохо учица паэтаму школьник взламал твой компутер школьник создал ацкей вирус который праглатил все тваи фаелы такие как jpg doc pdf 1c папробуй открой их!
пиши на школо почту [email protected]
саобщи на почту этот 5ka код и школьник скажет сколька денег он хочет на мароженое и как вернуть фаэлы"
Да, совершенно новая модификация
Дешифраторов пока не встречалось в открытом доступе
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я пробывал через Hex Comparison восстановить файлы по инструкции
муторная задача, но выполнимая. Правда восстановить таким методом около 2000 документов будет невыносимо.О старухе Шапокляк. У меня были исходные файлы и поэтому получилось обнаружить как он работает. Я не компьютерщик, поэтому попробую объяснить простым языком. Если воспользоваться каким нибудь Hex-редактором (я пользовался Hex Comparison), то можно увидеть, что этот вирус вносит изменения во всех файлах только в строки 0х0000, 0х0010, 0х0400, 0х0410, 0х0800,0х0810, 0х0с00,0х0с10, 0х1000, 0х1010, а также в конце файла добаляет целый блок набора букв и цифр, символов.
В указанных же строках он вместо исходного кода прописывает вот такую ерунду: €€€€€€€€€€€€€€€€€€€€€€€€€ (именно такое количество значков), в двоичном коде (или шестнадцатиричном, точно не знаю) это группа восьмеров: 8888 (10 таких групп по четыре восьмерки) и один раз 88.
Чтобы решить проблему: я заменил все значки евро на нули в указанных строказ, кроме строк 0х0000, 0х0010, потому что как понял, в этих строках содержится код о том, что файл принадлежит к программе Ворд, поэтому нужно указывать правильный исходный код. Для Ворда это: РПаЎ±б или в дургой кодировке так: D0CF 11E0 A1B1 1AE1 0000 0000 0000 0000 - в строке 0х0000 и 0000 0000 0000 0000 3E - в строке 0х0010.
Вообще можно исходный код скопировать из любого нормального doc-файла - он один у всех.
Блок ненужной информации в конце файла легко определяется. Doc файл заканчивается большим количеством нулей, а в испорченном файле после них вдруг начинаются набор символов. Его просто можно удалить.
После проведения всех изменений, необходимо сохранится и все файл восстановлен (конечно с небольшими косячками, но это уже мелочь). таким образом, какие то срочные документы можно восстановить вручную.
А если использовать RectorDecryptor с ключем шифрования? Можете подобрать как-нибудь ключ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
http://rghost.ru/46917293 должен помочь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Natterum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.