Шифровальщик системного раздела, по всей видимости включающий загрузчик и драйвер-фильтр

[FlamingWind]

Клиент схватил шифровальщик системного раздела. Какой и откуда - загадка, не признается или сам не понял. С его слов - жесткий диск долгое время "гудел", он выключил ноутбук и больше он не загружался. Ситуация усугубилась тем, что пользователь решил сам все исправить и угробил всю структуру разделов.


R-Studio (и тому подобные) ничем не помогли, но мне вручную (через WinHEX) удалось найти начало системного раздела и выделить его отдельно. И тогда я заметил действия шифровальщика: первый байт каждого сектора изменен по определенной маске. Нулевые сектора изменяются следующим образом:


Первые семь секторов изменяются на: 01 03 01 07 01 03 01


А каждый восьмой сектор изменяется на: 0F 1F 0F 3F 0F 1F 0F 7F 0F 1F 0F 3F 0F 1F 0F FF


Таким образом последовательность изменений выглядит как: 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 3F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 7F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 3F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 FF


Механизм изменения секторов с данными зависит от этой же последовательности, но нестандартен.




Собственно вопрос, что это за зверь? Скорее всего, что-то уже давным-давно хорошо известное и имеющее готовые утилиты для восстановления.


P.S. В приложении кусок из начала партиции.

[Info_bot]

Уважаемый(ая) FlamingWind, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.