Показано с 1 по 8 из 8.

Вирус зашифровал файлы!!! RectorDecryptor не спасает, пишет Unknown Trojan-Ransom.Win32.Rector modification (заявка № 140607)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    3
    Вес репутации
    17

    Вирус зашифровал файлы!!! RectorDecryptor не спасает, пишет Unknown Trojan-Ransom.Win32.Rector modification

    Архив: http://rghost.ru/46833343
    Пароль на архив: crypt2013

    Помогите расшифровать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Natterum, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Ну так если спецутилита не справилась, чем можем помочь мы?
    Сообщение вымогателя процитируйте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    3
    Вес репутации
    17
    Текст на картинке: "Злая мамка ни дает шкальнику денег на марожено патамушка школьник плохо учица паэтаму школьник взламал твой компутер школьник создал ацкей вирус который праглатил все тваи фаелы такие как jpg doc pdf 1c папробуй открой их!
    пиши на школо почту skoolnick@yahoo.com
    саобщи на почту этот 5ka код и школьник скажет сколька денег он хочет на мароженое и как вернуть фаэлы"

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Да, совершенно новая модификация
    Дешифраторов пока не встречалось в открытом доступе
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    18.06.2013
    Сообщений
    3
    Вес репутации
    17
    Я пробывал через Hex Comparison восстановить файлы по инструкции

    О старухе Шапокляк. У меня были исходные файлы и поэтому получилось обнаружить как он работает. Я не компьютерщик, поэтому попробую объяснить простым языком. Если воспользоваться каким нибудь Hex-редактором (я пользовался Hex Comparison), то можно увидеть, что этот вирус вносит изменения во всех файлах только в строки 0х0000, 0х0010, 0х0400, 0х0410, 0х0800,0х0810, 0х0с00,0х0с10, 0х1000, 0х1010, а также в конце файла добаляет целый блок набора букв и цифр, символов.
    В указанных же строках он вместо исходного кода прописывает вот такую ерунду: €€€€€€€€€€€€€€€€€€€€€€€€€ (именно такое количество значков), в двоичном коде (или шестнадцатиричном, точно не знаю) это группа восьмеров: 8888 (10 таких групп по четыре восьмерки) и один раз 88.

    Чтобы решить проблему: я заменил все значки евро на нули в указанных строказ, кроме строк 0х0000, 0х0010, потому что как понял, в этих строках содержится код о том, что файл принадлежит к программе Ворд, поэтому нужно указывать правильный исходный код. Для Ворда это: РПаЎ±б или в дургой кодировке так: D0CF 11E0 A1B1 1AE1 0000 0000 0000 0000 - в строке 0х0000 и 0000 0000 0000 0000 3E - в строке 0х0010.
    Вообще можно исходный код скопировать из любого нормального doc-файла - он один у всех.

    Блок ненужной информации в конце файла легко определяется. Doc файл заканчивается большим количеством нулей, а в испорченном файле после них вдруг начинаются набор символов. Его просто можно удалить.
    После проведения всех изменений, необходимо сохранится и все файл восстановлен (конечно с небольшими косячками, но это уже мелочь). таким образом, какие то срочные документы можно восстановить вручную.
    муторная задача, но выполнимая. Правда восстановить таким методом около 2000 документов будет невыносимо.

    А если использовать RectorDecryptor с ключем шифрования? Можете подобрать как-нибудь ключ?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от Natterum Посмотреть сообщение
    Можете подобрать как-нибудь ключ?
    Увы, это не смогут сделать даже специалисты в вирлабах
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    http://rghost.ru/46917293 должен помочь
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. Это понравилось:


  • Уважаемый(ая) Natterum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Help, Unknown Trojan-Ransom.Win32.Rector modification [HEUR:Trojan.Win32.Generic ]
      От Nowhere Near в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 24.06.2013, 12:35
    2. Вирус зашифровал файлы [Trojan-Ransom.Win32.Xorist.phd ]
      От athelas в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2013, 12:25
    3. Файлы зашифрованы. Trojan-Ransom.Win32.Rector
      От Krio в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 14.06.2012, 18:57
    4. Ответов: 13
      Последнее сообщение: 30.05.2012, 14:09
    5. Ответов: 2
      Последнее сообщение: 13.05.2012, 21:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00298 seconds with 16 queries