-
Junior Member
- Вес репутации
- 33
Как определить шифровальшик по его действиям в файле ?
Добрый день !
Есть файл (файловая база 1с) размером 500 метров. испорченная. И есть бэкап базы очень давний.
При сравнении этих файлов (их начал) было выяснено. Что изменены не все блоки а только некоторые блоки у которых адреса начинаються на С00 (сами измененные блоки длинною FF). Пример адресов измененных блоков (F1C00 E5C00 21C00 55C00 A1C00 115C00).
В 99% эти блоки в нормальном файле забиты нулями(00) в зараженном же файле (примерно 20%) этих нулей поменяны на какое-то значение из вот этого списка(1,2,4,8,10,20,40,80 (HEX формат)).
в каждом изменёном блоке - заменены разные байты. На взгляд пока непонятно по какому правилу одни байты меняются а другие нет. Но в каждом блоке изменены разные байты.
Вопрос. Можно ли по природе заражения файла - понять в сторону какого вируса шифровальщика копать.
Оба файла были присланы с другой машины. На которой Ось уже переставлена. (Админы проявили ненужную скорость)
У кого какие мысли есть по этому поводу. Заранее спасибо.
Последний раз редактировалось PORGY3000; 29.05.2015 в 13:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) PORGY3000, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 33
ПримерБлока.jpg
Пример зараженного блока. Сверху зараженный, снизу не зараженный.