VBS.Mraspy

**krbh** · 11.04.2007, 11:30

Здравствуйте! Вирус VBS.Mraspy (по классификации Dr.Web) погрыз документы, картинки и пр. (стали 0 длины). Где можно посмотреть его описание и есть ли возможность восстановления документов?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Unregistered · 12.04.2007, 17:17

Сообщение от krbh

Здравствуйте! Вирус VBS.Mraspy (по классификации Dr.Web) погрыз документы, картинки и пр. (стали 0 длины). Где можно посмотреть его описание и есть ли возможность восстановления документов?

Тоже интересует сабж
Можно ли после такого кода восстановить информацию?

If (ext = "doc") or (ext = "xls") or (ext = "txt") or (ext = "ppt") or (ext = "mdb") or (ext = "ppl") or (ext = "avc") or (ext = "jpg") or (ext = "zip") or (ext = "rar") or (ext = "7z") or (ext = "mp3") or (ext = "avi") or (ext = "htm") or (ext = "ogg") or (ext = "mpg") or (ext = "vob") or (ext = "wmv") or (ext = "wma") or (ext = "iso") or (ext = "mds") or (ext = "xl") or (ext = "exe") Then

Set FileSystemObject=createobject("scripting.filesyste mobject")
FileSystemObject.CreateTextFile (f1.Path)

End If

**pig** · 12.04.2007, 19:46

Это стоит больших денег и без гарантии. Точнее, можно сразу дать гарантию на недостижимость полного восстановления.

**krbh** · 16.04.2007, 16:19

Сообщение от pig

Это стоит больших денег и без гарантии. Точнее, можно сразу дать гарантию на недостижимость полного восстановления.

Вопрос был не про деньги и про гарантии, а можно или нельзя. Если можно, то каким способом. Если есть описание, то где?

**pig** · 16.04.2007, 18:30

Есть специальные фирмы, которые этим занимаются. В ручном режиме, по одному кластеру собирают потёртые файлы. Ну, не совсем, конечно, руками, у них инструменты есть свои, весьма продвинутые... Ноу-хау.
Берут дорого, гарантий не дают.

А описание - читайте описание файловой ситемы, в которой ваши потёртые файлы жили.

**krbh** · 16.04.2007, 20:14

Сообщение от pig

Есть специальные фирмы, которые этим занимаются. В ручном режиме, по одному кластеру собирают потёртые файлы. Ну, не совсем, конечно, руками, у них инструменты есть свои, весьма продвинутые... Ноу-хау.
Берут дорого, гарантий не дают.

А описание - читайте описание файловой ситемы, в которой ваши потёртые файлы жили.

Интересует описание не файловой системы, а конкретного вируса. Что он делает? Если просто ставит длину 0 в Directory для FAT32, оставляя нетронутой цепочку кластеров, то достаточно проставить туда-же реальную длину файла и документ восстановится. Если хоть что-то пишет поверх файла, то не поможет ни одна специализированная фирма. Высказать мнение по поводу ручной сборки по одному кластеру не позволяют правила форума.

**pig** · 16.04.2007, 20:53

Если он делает CreateTextFile, как написано выше (а я думаю, что именно так он и делает; скрипт всё-таки, не что-то там низкоуровневое; к тому же это самый простой вариант), то длина сбрасывается в ноль, а кластеры освобождаются. Соответственно, система их по мере надобности перезаписывает. Поэтому полного восстановления не будет. И собирать придётся именно руками, поскольку цепочка почила в бозе.

Unregistered · 19.04.2007, 10:16

Сообщение от pig

Если он делает CreateTextFile, как написано выше (а я думаю, что именно так он и делает; скрипт всё-таки, не что-то там низкоуровневое; к тому же это самый простой вариант), то длина сбрасывается в ноль, а кластеры освобождаются. Соответственно, система их по мере надобности перезаписывает. Поэтому полного восстановления не будет. И собирать придётся именно руками, поскольку цепочка почила в бозе.

Выше я привел кусок кода именнно из VBS.Mraspy, отвечающий за сбрасывание длины файла. К сожалению, на диске стоит NTFS - так что дело плохо.

Спасибо за консультацию.

VBS.Mraspy

Опции темы

VBS.Mraspy

Re:VBS.Mraspy

Ваши права в разделе