Вход

Помогите восстановить документы после вируса

Только море программ может сделать счастливым компьютерщика. Форум поможет всегда быть в тренде!

Модератор: AxeL

Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
26 августа 2013 в 16:29

Приветствую, уважаемые форумчане.

Собссно словили вирус. Атакованы были фотографии, видео и офисные документы. К каждому зараженному файлу приписывается после расширения следующая байда:
uas@nonpartisan.com_IQ113

Также идёт некая шифровка информации в табличке файла, то есть после банальной затирки нового расширения - файл не открывается должным образом.
Первоначально как заявил пострадавший - они увидели баннер, с типичной просьбой покормить интеллектуалов и отослать им денежку, и мол пришлют дешифратов и всё ништяк. Прогнав комп антивирусом - заразу удалили, новые файлы больше не заражаются, но урон получен значительный.

Как следует погуглив, выяснил что зараза появилась относительно недавно. Каждый случай заражения требует своего алгоритма дешифровки и мол самый простой метод - отослать бабло и получить дешифратор. Уже гуляет по сети дешифратор для подобного счастья с модификацией
IQ107

Люди, что столкнулись с данной модификацией - пишут что мол реально данные спасаются.

Мне удалось с помощью некой JPEGRIP расшифровать фотографии. Остался вопрос с видео и офисовскими документами (DOC). Причём второе наиболее важно.
Может кто поможет найти решение? Прикрепляю два зашифрованных файла. Вирусов нет, файлы просто зашифрованы. Desktop.rar
0
Чемпион

СообщениеЧемпион Moros Moros 1
Оставил 1543 сообщений с 10 фев 2005
ФР: 50259
ICQ
26 августа 2013 в 18:55

DHARMA, нужен исходный код шифратора и место куда пароль подпихнуть


вариант , а что с оригинальными файлами произошло ? удалились ?
если да - пройти макс глубоко каким нить эзи рекавери , имена потеряются , но шансы поднять данные есть.
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
26 августа 2013 в 19:13

Эмм, с исходным кодом я так понял нужен сам файл троянчика-заражалки как я понял? Блин ну его выпилили((( А насчёт места пароля не догнал :?
Оригинальные файлы вот они и есть собссно. А как ещё, это ведь троян а не червь, он не делает бэкапов :D Судя по размеру - содержимое то вообщем-то никуда в них не делось, но было добавлено немало грязи в код. Поковырявшись в hex редакторе я понял что там охринеть сколько затирать всего надо чтобы привести файл к исходному виду.
Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.102
К сожалению, на данный момент у нас нет способа их расшифровать.
Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Вот так меня обрадовал суппорт Dr.Web (про кашпировского аще молчу, там аще атас). Но JPEG то я ведь восстановил как-то и полностью причём, следовательно можно и DOC как-то? Или я не прав?
0
Чемпион

СообщениеЧемпион Godsmack Godsmack 1
Оставил 1702 сообщений с 28 окт 2006
ФР: 20325
ICQ
26 августа 2013 в 19:14

DHARMA, вот что получилось у меня Desktop.rar
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
26 августа 2013 в 19:49

Спасибо большое за попытку, но к сожалению я тоже пробовал эту утилитку от Dr.Web и она мне выдала один в один такую же картинку как и у вас. Как видите - не впечатляет, я не думаю что исходный документ был в таком виде...
0
Легенда форума

СообщениеЛегенда форума Yurii Yurii 0
Оставил 6195 сообщений с 19 мар 2007
ФР: 209060
26 августа 2013 в 22:07

А денег то много требует?

А то с 1 байта забивает какой-то фигней 48 байт, с 1024 также фигней 48 байт, далее с 2048 и т.д.
Если размер файла не меняется... то он или где-то хранит затертые данные... или... файлы он просто портит, а не шифрует...
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
27 августа 2013 в 00:04

5 тыщ вообщем-то. Нет сумма то конечно небольшая, но блин гарантий никаких нет, да и кормить нищебродов не собираюсь.
0

Сообщениеидиотъ daggert daggert 8
Оставил 11162 сообщений с 22 окт 2005
Блог: Просмотр блога (1)
ФР: 125569
WWW
27 августа 2013 в 04:57

Тоже поковырял в хексе и мне кажется что это только половина файла...
0

Сообщение Freeze 27 августа 2013 в 18:47

Привет,у меня знакомые тож поймали такую фигню только с расширением uas@nonpartisan.com_IQ235
0

Сообщение Freeze 27 августа 2013 в 18:52

Я написал этим товарищам на почту,в общем просят денег в районе 5 тыр,и один из моих файлов они для примера расшифровали.Но меня волнует вопрос -если всётаки заплатить вышлют ли они дешифратор.ведь я его могу сразу в сеть выложить,а я что то таких в сети не нашёл,следовательно либо никто не платил либо платили но дешифратор не давалсяюКак вы думаете ?
0
Легенда форума

СообщениеЛегенда форума Yurii Yurii 0
Оставил 6195 сообщений с 19 мар 2007
ФР: 209060
27 августа 2013 в 19:57

В первом сообщении написано, что если бы у вас было не IQ235, а IQ107 то дешефратор в сеть уже кто-то скинул...
Т.е. вам или ждать/искать товарищей по несчастью с IQ235 или быть первопроходцем...
0

Сообщение Ares 27 августа 2013 в 21:40

Freeze писал(а):ведь я его могу сразу в сеть выложить,а я что то таких в сети не нашёл,следовательно либо никто не платил либо платили но дешифратор не давалсяюКак вы думаете ?

http://habrahabr.ru/post/85347/
Ваши данные были зашифрованы методом ассиметричного шифрования. Закрытый (для шифрования) и открытый (для дешифрования) ключи были отосланы вирусописателю, а у вас, естественно, удалены. Даже получив исходные коды вируса, Вы ничего не сможете сделать. И получив свой ключ для расшифровки своих файлов, Вы сможете помочь кому-либо c небольшой вероятностью, лишь в том случае, если в механизме генерации ключевой пары шифрования-дешифрования есть программные косяки.
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
27 августа 2013 в 22:27

Охх как ужасно то всё. В таком случае это та ещё зараза, как Penetrator в своё время...
0

Сообщение Никита2 28 августа 2013 в 16:55

Такой же вирус словил, правда инфы прилично поразило под 1Тб, собственно и стимул к решению есть))
Пока научился архивы .rar после поражения вскрывать.
Документы офиса и возможно .pdf пока только просмотреть смог с потерями до 15%.

формат *.dwg кто-нибудь смог вскрыть?
0

Сообщениеидиотъ daggert daggert 8
Оставил 11162 сообщений с 22 окт 2005
Блог: Просмотр блога (1)
ФР: 125569
WWW
28 августа 2013 в 17:20

А на какой системе вирусняк сидел?
0

Сообщение Ловче 28 августа 2013 в 20:47

скажите хоть на какие порносайты не ходить, чтобы тоже вирусов не набраться. :shock:
0
Чемпион

СообщениеЧемпион Godsmack Godsmack 1
Оставил 1702 сообщений с 28 окт 2006
ФР: 20325
ICQ
28 августа 2013 в 21:03

Отправил письмецо этим гаврикам, чтобы убедиться, вот выслали дешифрованный файл что выше file.rar
0
Легенда форума

СообщениеЛегенда форума Yurii Yurii 0
Оставил 6195 сообщений с 19 мар 2007
ФР: 209060
28 августа 2013 в 21:19

Ловче писал(а):скажите хоть на какие порносайты не ходить, чтобы тоже вирусов не набраться. :shock:

главное не ходите на сайт арбитражного суда, на порносайты - можно :)
0

Сообщение Никита2 28 августа 2013 в 21:53

А можно испорченный файл про теплицы сюда скинуть?)) Сравнить с исправленным хочется.
0

Сообщение holmes 28 августа 2013 в 22:17

Ловче писал(а):скажите хоть на какие порносайты не ходить, чтобы тоже вирусов не набраться. :shock:
на русские. на импортные можно смело ходить.
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
29 августа 2013 в 11:06

Никита2, В самом первом посте у меня приклеплён. А как вы восстановили с потерями до 15 процентов, можно узнать? оО...
Пока научился архивы .rar после поражения вскрывать

Эмм, а поподробнее? :-)
А на какой системе вирусняк сидел?

В моём случае на XPюше.
-----------------------------------------------
Приклепляю дешифровщик для IQ107 (респект тому, кто заплатил и поделился) и программу для восстановления фоток. Может кто разберёт механизм?
Desk.rar
0

Сообщение Ловче 29 августа 2013 в 11:51

holmes писал(а):
Ловче писал(а):скажите хоть на какие порносайты не ходить, чтобы тоже вирусов не набраться. :shock:
на русские. на импортные можно смело ходить.

у меня была проблема недавно совсем, даже не помню что за сайт был, выскочила картинка и сайт было не закрыть, мол надо пароль, я справа открыл настройки и удалил там все содержимое и все, картинка пропала, сайт закрылся. 8)
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
29 августа 2013 в 13:51

Ловче, очень круто, но здесь проблема куда посерьёзнее будет...
0

Сообщение Никита2 29 августа 2013 в 14:28

DHARMA, давайте маленький архив посмотрим сработает ли способ))
у меня IQ вируса другой))

на семёрке вирус был, но самое странное, что Касперский как-то не среагировал на него, хотя всё ПО лицензия и обновляется.
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
29 августа 2013 в 15:24

А не, у мну архивы не тронуты. Как я понял, у вас IQ вируса 200 и более. Начиная с них, там шифрование уже в три этапа идёт, и расширений файлов побольше, включая архивы и электронные книги.
А с PDF есть возможность какая-нить? А то чё-то от Dr.Web утилитка проигнорировала их.
0

Сообщение Freeze 29 августа 2013 в 18:09

Здравствуйте!

Готового решения для расшифровки нет и неясно пока будет ли, хотя бы частичное восстановление, если такая возможность появится, мы оповестим Вас в этом запросе.

Шифрование - RSA, так что расшифровка нашими силами не представляется возможной :
без приватной половины ключевой пары RSA, получить/изъять которую можно только у хозяина/автора троянца, о расшифровщике речи идти не может.

Рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и вытрясут из него шифроключ.

С уважением, Людмила Теплова,
служба технической поддержки компании "Доктор Веб"
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
29 августа 2013 в 19:07

пфе, это я тоже читал.
Блин вот так написали то неубиваемую заразу. И плодится то дело быстро.
0
Легенда форума

СообщениеЛегенда форума Yurii Yurii 0
Оставил 6195 сообщений с 19 мар 2007
ФР: 209060
29 августа 2013 в 19:39

DHARMA писал(а):пфе, это я тоже читал.
Блин вот так написали то неубиваемую заразу. И плодится то дело быстро.


Если за банального блокировщика просят ~500 рэ и выше не попросишь - легче "мастера-ломастера" пригласить, то тут при тех-же затратах на написание и распространение уже на порядок больше можно просить!
Так что боюсь... все эти блокировщики были цветочками... пришло время ягодок...
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
29 августа 2013 в 19:49

Ну знаете-ли порно-блокировщики там всякие, писались то в основном в расчёте на дурака. И как правило единичные модификации засирали систему настолько, что проще было переустановить. При этом любимые данные оставались целыми.
А тут... При том что вирус по сути простой как три рубля. Алгоритм действия уже разгадан и рассписан в сети. Ну чё поделать, как это часто бывает - очередной гений-студентик решил подзаработать, и как видите - прокатило. А расплодить дело в сети - процесс недолгий. Зараза существует где-то недели две от силы, а уже смотрю форумы кишат жертвами...
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и вытрясут из него шифроключ.

Вот это мне аще нравиццо :D Допустим, наша доблестная кибер-полиция вычислила автора сией западни и даже задержала его со всеми вытекающими... Только вот зараза как и сама идея вируса то по рунету тащеммта дальше гуляет, и найдутся те, кто просекут фишку и также попробуют. Интеллектуалов, не желающих честно зарабатывать бабло в рашке хватает :|
0

Сообщение Freeze 29 августа 2013 в 21:05

Если за это будут реально бить по мордасам или сажать то желающих станет меньше.
0
Чемпион

СообщениеЧемпион Godsmack Godsmack 1
Оставил 1702 сообщений с 28 окт 2006
ФР: 20325
ICQ
30 августа 2013 в 12:34

Так, кому нужна програмка для восстановления PDF прошу. Advanced PDF Repair 2.0.rar
Восстановленный PDF.rar
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
30 августа 2013 в 21:13

О, пасибки) Ещё один шаг сделан)
0
Чемпион

СообщениеЧемпион Godsmack Godsmack 1
Оставил 1702 сообщений с 28 окт 2006
ФР: 20325
ICQ
30 августа 2013 в 23:13

DHARMA, с вордом и экселем пока проблемы, восстанавливается почти, но есть пару строчек потерянных, может и разберусь где они проскакивают.
А пока еще с какими файлами есть проблемы???
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
31 августа 2013 в 03:01

Пока вроде вот всё.
0

Сообщение ????????????2 2 сентября 2013 в 22:37

Godsmak, кстати верно смотрит.
Часть зашифрованных файлов можно восстановить после использования программ.
Для архивов помагает rar repair tool и zip repair tool.
Офисные расширения открываются после использования easy recovery tool и т.п.

Насчёт покупки у них декриптора. Купил - не киданули. Файлы восстанавливает...
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
2 сентября 2013 в 23:04

Может поделитесь, мало-ли кто ещё с такой же модификацией столкнётся? Во сколько обошлось?
0
Пишу регулярно

СообщениеПишу регулярно Hormann Hormann 5
Оставил 362 сообщений с 07 окт 2012
ФР: -24442
2 сентября 2013 в 23:25

Я писал в теме про MacOS X:
Появилась проблема: Safari перестал воспроизводить радио:  http://radio.sampo.ru
Я уже и переустановил Safari и flash player то же, причем на сайте радиостанции, я прослушивать в режиме онлайн то же не могу. Пришлось установить Гугл Хром что бы слушать радио. В чем проблема не пойму??? Была еще такая фишка: "В контакте" типа заблокировало страницу и просило ввести номер телефона, но вводя ради прикола любые номера, дальше дело не шло, тупо - тупик и Safari не закрыть, вылечил обычной перезагрузкой. Может какой вирусняк залетел :shock: 
Причем на MacOS X блокирует до сих пор любые просмотры через flash player, и пришло у меня все это через ГуглМап.
Кто то постучался ко мне в дверь, но OS X его не пускает.
0

Сообщение Юрий 3 сентября 2013 в 17:53

Такая же беда поменялись расширения на шареном фалом хранилище прогнал на вирусы их нет, расширениеuas@nonpartisan.com_IQ270 касперский и доктор веб ничего вразумительного не сказали попробовал Advancer PDF Repair загнал туда испорченный файл не помогло, убрал расширение вручную... попробовал еще раз тоже не помогло что делать пока ума не приложу...банальная смена разрешения не дает ничегоу кого ключ или подобие помогите аська 253809528
0
Чемпион

СообщениеЧемпион Godsmack Godsmack 1
Оставил 1702 сообщений с 28 окт 2006
ФР: 20325
ICQ
5 сентября 2013 в 14:24

Юрий, скиньте пару файликов на пробу, погляжу что можно будет сделать.
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
5 сентября 2013 в 15:49

не дает ничегоу

Ничегоу и не даст... Почитайте тему вообщем-то. Нашли пока решение только на фотки и PDF документы
0

Сообщение palich12 6 сентября 2013 в 13:29

Та же проблема, расширение uas@nonpartisan.com_IQ282 PDF reparer не помог =( вот файлик для примера
Statement.docx.pdf.uas@nonpartisan.com_IQ282
0

Сообщение Антивирус 7 сентября 2013 в 21:12

В чем проблема заплатить ?
0
Бессмертный

СообщениеБессмертный DHARMA DHARMA 29
Оставил 9111 сообщений с 02 окт 2007
ФР: 9848
WWW
7 сентября 2013 в 22:13

В том, что я бы лучше морду набил бы автору вируса, чем заплатил бы ему хоть рубль...
Ну есть мозги хакерские - ну пиши ты программы в микрософте там где-нить, а чё народ то разводить.
0

Сообщение palich12 9 сентября 2013 в 11:09

В чем проблема заплатить ?Для меня 6000 ощутимая сумма, если с кем-то скинуться 50/50, то ещё ок. А так не могу себе позволить.
0

Сообщение Igor 9 сентября 2013 в 12:30

Та же проблема uas@nonpartisan.com_IQ247 Если у кого ключик завалялся, может договоримся ?
vir82@ukr.net
0

Сообщение Гость123 12 сентября 2013 в 12:02

Просто спишитесь с тех. поддержкой Dr.web, скиньте несколько файлов, опишите проблему, решат.
У меня в 2011 была такая проблема, 3 дня переписки, выслали утилиту. Правда, потом дубли всех файлов пришлось чистить руками, но это не страшно, гласное сохранить всю инфу.
0

Сообщение palich122 12 сентября 2013 в 13:49

Гость123 писал(а):Просто спишитесь с тех. поддержкой Dr.web, скиньте несколько файлов, опишите проблему, решат.
У меня в 2011 была такая проблема, 3 дня переписки, выслали утилиту. Правда, потом дубли всех файлов пришлось чистить руками, но это не страшно, гласное сохранить всю инфу.
Там люди писали уже, говорят ничем не могут помочь
0

Сообщение Vova 21 октября 2013 в 03:15

uas@nonpartisan.com_IQ233. Есть у кого дешифратор????
0

Сообщение Vova 21 октября 2013 в 03:18

Давайте покупать вскладчину
0

Сообщение Володька 30 октября 2013 в 22:38

Давай! Я готов купить
0



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5