Зашифрованы файлы, точная версия вируса неизвестна

Printable View

30.10.2012, 11:07
Antinomy

Зашифрованы файлы, точная версия вируса неизвестна

Девочка словила вирус, зашифровавший все файлы xls, jpg, pdf, doc. Удалось найти несколько файлов до и после и сравнить. Вот архив с ними:
[url]http://rusfolder.com/33366121[/url]

Ситуация схожая с [url]http://virusinfo.info/showthread.php?t=120871&p=894084&viewfull=1#post894084[/url]
Отчёт по вирусу вот: [url]https://www.virustotal.com/file/b7a6d434d7e941967c267a61fef7685afdc969d931417cbf739536341ffca975/analysis/[/url]

Видно, что каждые 400h заменялись 15 байт на значение 55h. В конце запись в 646 байт. Из них 600 - 5 блоков по 120 байт, представляющие в зашифрованном виде пять испорченных кусков. Затем 46 байт служебной информации. Последний байт говорит, сколько блоков испорчено (5), 45 - это 5 записей по 9 байт, описывающие, где находится блок и 3 или 4 байта (нулевой байт блока всегда равен 00, как и другие байты, скорее всего разделители, так что нельзя выяснить) служебной информации (на зашифрованный кусок не влияющие).

Могу выложить и самого зловреда, если кто в разборке силён. Ну и буду постить, что нашлось, чтобы другие могли мысли озвучить.

Самые важные xls можно поднять, восстановив заголовок zip-архива, так что катастрофы с данными нет. Но надеюсь кому-то помочь, да и люблю красивые решения проблемы.
30.10.2012, 11:09
Info_bot

Уважаемый(ая) [B]Antinomy[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.10.2012, 22:07
thyrex

Какой ID просят указать?
31.10.2012, 03:10
Antinomy

Никакого ID (если только A03 не является ID). Все повреждённые файлы получили расширение A03.
Случай как тут получается: [url]http://virusinfo.info/showthread.php?t=126383[/url] только там A04.
Оставлена такая "визитка":
[URL=http://s2.ipicture.ru/Gallery/Viewfull/14792115.html][IMG]http://s2.ipicture.ru/uploads/20121031/OQRm7sTD.bmp[/IMG][/URL]

Ещё сам зловред имеется, если надо выложить.