[فوری] ویروس HowDecrypt

[godvb]

جالبه 512 بایت همه اول فایل ها یکسان هستند. هدر رو معلوم نیس چه بلایی سرش میاره و کجا ذخیره میکنه!

فکرکنم به انتهای فایل اضافه میکنه. یعنی 512 بایت انتهایی فایلت میشه هدر اصلی که معلوم نیس چیکارش کرده. فایل PDF 512بایت اول رو با مقدار زیرگذاشتم فایلت درست شد:

کد:

25 50 44 46 2D 31 2E 34 0A 25 C4 A9 C4 A9 0A 31 20 30 20 6F 62 6A
3C 3C 2F 54 79 70 65 2F 58 4F 62 6A 65 63 74 2F 43 6F 6C 6F 72 53
70 61 63 65 2F 44 65 76 69 63 65 52 47 42 2F 53 75 62 74 79 70 65
2F 49 6D 61 67 65 2F 42 69 74 73 50 65 72 43 6F 6D 70 6F 6E 65 6E
74 20 38 2F 57 69 64 74 68 20 37 38 37 2F 48 65 69 67 68 74 20 35
31 30 34 2F 4C 65 6E 67 74 68 20 36 33 33 32 38 33 2F 46 69 6C 74
65 72 2F 44 43 54 44 65 63 6F 64 65 3E 3E 73 74 72 65 61 6D 0A FF
D8 FF E0 00 10 4A 46 49 46 00 01 01 00 00 01 00 01 00 00 FF DB 00
43 00 03 02 02 02 02 02 03 02 02 02 03 03 03 03 04 06 04 04 04 04
04 08 06 06 05 06 09 08 0A 0A 09 08 09 09 0A 0C 0F 0C 0A 0B 0E 0B
09 09 0D 11 0D 0E 0F 10 10 11 10 0A 0C 12 13 12 10 13 0F 10 10 10
FF DB 00 43 01 03 03 03 04 03 04 08 04 04 08 10 0B 09 0B 10 10 10
10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10
10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10
10 10 10 FF C0 00 11 08 13 F0 03 13 03 01 11 00 02 11 01 03 11 01
FF C4 00 1F 00 00 01 05 01 01 01 01 01 01 00 00 00 00 00 00 00 00
01 02 03 04 05 06 07 08 09 0A 0B FF C4 00 B5 10 00 02 01 03 03 02
04 03 05 05 04 04 00 00 01 7D 01 02 03 00 04 11 05 12 21 31 41 06
13 51 61 07 22 71 14 32 81 91 A1 08 23 42 B1 C1 15 52 D1 F0 24 33
62 72 82 09 0A 16 17 18 19 1A 25 26 27 28 29 2A 34 35 36 37 38 39
3A 43 44 45 46 47 48 49 4A 53 54 55 56 57 58 59 5A 63 64 65 66 67
68 69 6A 73 74 75 76 77 78 79 7A 83 84 85 86 87 88 89 8A 92 93 94
95 96 97 98 99 9A A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3 B4 B5 B6 B7 B8
B9 BA C2 C3 C4 C5 E4

الانم دیروقت، اگرفایل بدافزار بود همون روز اول فایل هات درست میشدن.

[lord_viper]

دقیقا منم همین نظر رو دارم چون یه تست اولیه گرفتم 10 بایت اول یک فایل اکسل رو به aaaa تغییر دادم دیدم همون اروری که ایشون گذاشتن رو داده و قطعا کریپت نکرده کل فایل رو چون زمان خیلی زیاد و مصرف منابع زیادی رو میطلبه و کاربر فورا متوجه میشه

[mahnik]

من متوجه نشدم دوستان
ویروس رو ندارمش چون ویندوز عوض کردم، یعنی نباید ویروس رو از بین میبردم؟؟؟؟؟؟؟؟؟؟؟
فایل هام رو آخرش چه کنم که درست بشه؟
هارد یک ترا بایتی ام بیشتر اطلاعاتش اینطوری شده و جالبه که اطلاعات مهم هم ویروسی شده، اندازه 8 سال عکس و خاطره، اندازه 2 سال تحقیق و پژوهش دوران ارشدم، چقدر زمان میگذاشتم برای مرتب و دسته بندی فایل هام
هیییییییییییییی وای من

دوستان وقتی ده روز وقت داده ممکنه بعد 10 روز با هیچ روشی قابل بازیابی نباشه؟
این عکس به همراه یه فایل txt در همه فولدرهای آلوده ام هست محتوای اون فایل txt هم گذاشتم فقط کد اختصاصی که بهم داده رو برداشتم

[godvb]

همیشه باید چندتا فایل از بدافزار رو فشرده کنید و پسورد بزارین تا مبادا دوباره سهوا اجرا کنید و برای روز مبادا نگهدارید

هرچقدر هم سرچ میزنم فایل بدافزار با این مشخصات پیدانمیکنم.

[amirali110]

آیا راهی وجود دارد که علاوه بر عکسها فایلهای دیگر نیز بازیابی یا تعمیر گردد. ظاهرا آنطور که دوستان فرمودند هدر ها دستکاری شده است.

جناب godvb من هم فایلی را به عنوان نمونه در اینجا میآرم لطف کنید ببینید باز می شود؟

[babyy]

با اجازه اساتید
من فایلهای pdf رو بدون مشکل توی لینوکس میتونم ببینم؛از okular واسه دیدن فایلها استفاده میکنم

هم اون فایلی که mahnik گذاشت بدون مشکل باز شد و هم فایل amirali110 ؛
البته اون قسمت تعداد صفخاتش یکم قاطی کرده ولی فایل رو میشه دید

[godvb]

من از foxit reader استفاده میکنم جواب نمیدن و همچنین reader win8 رو تست زدم بازش نمیکنه. اررور میده.

دوست عزیز amirali110 همون 512 بایت قبلی رو در فایل شماهم قرار دادم بازشد. هدر شما با فایل دیگردوستان فرق داره و همونطورهم که دیده میشه یک keyبرای قربانی ایجاد میکنه. کلید رمزنگاری/رمزگشایی و به احتمال زمان آلوده شدن (چون گفته 10روز بیشتر وقت ندارید) و شاید اطلاعات دیگری در این کلید قرار گرفته.

[babyy]

یه چیزی شبیه اینه یا خود اینه

[amirali110]

من از foxit reader استفاده میکنم جواب نمیدن و همچنین reader win8 رو تست زدم بازش نمیکنه. اررور میده.

دوست عزیز amirali110 همون 512 بایت قبلی رو در فایل شماهم قرار دادم بازشد. هدر شما با فایل دیگردوستان فرق داره و همونطورهم که دیده میشه یک keyبرای قربانی ایجاد میکنه. کلید رمزنگاری/رمزگشایی و به احتمال زمان آلوده شدن (چون گفته 10روز بیشتر وقت ندارید) و شاید اطلاعات دیگری در این کلید قرار گرفته.

ممنون از لطف شما.
شما چطور هدر رو میبینید و چطوری جایگزین میکنید؟
چنانچه امکان دارد توضیح بفرمائید.

[godvb]

یه چیزی شبیه اینه یا خود اینه

babyy جان فکرکنم این بهتر باشه واس آشنایی با Ransomware ها

کد:

http://en.wikipedia.org/wiki/Ransomware_%28malware%29

شما چطور هدر رو میبینید و چطوری جایگزین میکنید؟
چنانچه امکان دارد توضیح بفرمائید.

بیشتر افراد با winhex معمولا کارمیکنن ولی خودم بیشتر از hex workshop استفاده میکنم. کارخاصی نداره 512 بایت رو میزنی از اول فایل Replace بشه و بعد save. البته این هدر یک فایل PDF سالم هست که شما داری جایگزین میکنی، ولی فایل های دیگه بدین روش کار نمی کنند بعنوان مثال عکس ها و یا دیگر فایل ها.

[mahnik]

چرا عکس های با نرم افزار hetman برمیگرده؟
میخوام اکسل و word هم برگرده ولی نمیشه!!!
ویندوز عوض کردم و دیگه دسترسی ندارم به ویروس
هارد اکسترنالم هم که ویروس یابی شده
من زیاد روی مباحث امنیت و ویروس و کد و الگوریتم اطلاعاتی ندارم
اطلاعات هارد یک ترا بایتی ام یعنی نابود شد؟