-
Junior Member
- Вес репутации
- 42
Зашифрованы файлы, точная версия вируса неизвестна
Девочка словила вирус, зашифровавший все файлы xls, jpg, pdf, doc. Удалось найти несколько файлов до и после и сравнить. Вот архив с ними:
http://rusfolder.com/33366121
Ситуация схожая с http://virusinfo.info/showthread.php...l=1#post894084
Отчёт по вирусу вот: https://www.virustotal.com/file/b7a6...a975/analysis/
Видно, что каждые 400h заменялись 15 байт на значение 55h. В конце запись в 646 байт. Из них 600 - 5 блоков по 120 байт, представляющие в зашифрованном виде пять испорченных кусков. Затем 46 байт служебной информации. Последний байт говорит, сколько блоков испорчено (5), 45 - это 5 записей по 9 байт, описывающие, где находится блок и 3 или 4 байта (нулевой байт блока всегда равен 00, как и другие байты, скорее всего разделители, так что нельзя выяснить) служебной информации (на зашифрованный кусок не влияющие).
Могу выложить и самого зловреда, если кто в разборке силён. Ну и буду постить, что нашлось, чтобы другие могли мысли озвучить.
Самые важные xls можно поднять, восстановив заголовок zip-архива, так что катастрофы с данными нет. Но надеюсь кому-то помочь, да и люблю красивые решения проблемы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Antinomy, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 42
Никакого ID (если только A03 не является ID). Все повреждённые файлы получили расширение A03.
Случай как тут получается: http://virusinfo.info/showthread.php?t=126383 только там A04.
Оставлена такая "визитка":
Ещё сам зловред имеется, если надо выложить.