Показано с 1 по 2 из 2.

Шифровальщик системного раздела, по всей видимости включающий загрузчик и драйвер-фильтр (заявка № 187385)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2015
    Сообщений
    1
    Вес репутации
    10

    Шифровальщик системного раздела, по всей видимости включающий загрузчик и драйвер-фильтр

    Клиент схватил шифровальщик системного раздела. Какой и откуда - загадка, не признается или сам не понял. С его слов - жесткий диск долгое время "гудел", он выключил ноутбук и больше он не загружался. Ситуация усугубилась тем, что пользователь решил сам все исправить и угробил всю структуру разделов.


    R-Studio (и тому подобные) ничем не помогли, но мне вручную (через WinHEX) удалось найти начало системного раздела и выделить его отдельно. И тогда я заметил действия шифровальщика: первый байт каждого сектора изменен по определенной маске. Нулевые сектора изменяются следующим образом:


    Первые семь секторов изменяются на: 01 03 01 07 01 03 01


    А каждый восьмой сектор изменяется на: 0F 1F 0F 3F 0F 1F 0F 7F 0F 1F 0F 3F 0F 1F 0F FF


    Таким образом последовательность изменений выглядит как: 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 3F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 7F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 3F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 FF


    Механизм изменения секторов с данными зависит от этой же последовательности, но нестандартен.




    Собственно вопрос, что это за зверь? Скорее всего, что-то уже давным-давно хорошо известное и имеющее готовые утилиты для восстановления.


    P.S. В приложении кусок из начала партиции.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) FlamingWind, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

Похожие темы

  1. Вирус,отключающий интернет
    От smirnar в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 01.07.2011, 19:11
  2. Ответов: 4
    Последнее сообщение: 16.01.2010, 10:56
  3. По всей видимости какая-то мутация Beagle.
    От Shadow[13] в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 22.02.2009, 02:57
  4. По всей видимости вирус
    От Максут в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 28.07.2008, 16:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00754 seconds with 17 queries