Допоможіть вірус - шифратор

[rulon]

щоб розбити диск вам доведеться загрузитись з лав сіді або флешкі,

зробити це можна acronis disk director

перевірений пакет acronis є на http://www.ex.ua/73509690

звичайно, якщо дуже важливо, то можна спочатку зробити бекап вінди acronis true image.

але можна й по живому так??? й буде все гуд?

й в мене вже розбито,просто на диску с мало місця....хотів збільшити таким чином

[Revolver]

можна по живому, але якщо у вас мало місця на с і ви його збільшуєте, то вибуде не розбивати диск с а обєднувати його з вільним простором на диску Д,

єдине, на рахунок чого не певен, можливо треба зробити 2 операції, спочатку забрати вільне місце з Д а потім додати його до С.

[rulon]

вільний простір є на диску д.це не проблем з місцем,й все це можна зробити з цією програмкою?акронікс?а якоїсь інструкціїї немає як правильно робити?чи взнати точніше як має все відбуватись?

[Factory]

можна по живому, але якщо у вас мало місця на с і ви його збільшуєте, то вибуде не розбивати диск с а обєднувати його з вільним простором на диску Д,

єдине, на рахунок чого не певен, можливо треба зробити 2 операції, спочатку забрати вільне місце з Д а потім додати його до С.

робив колись таке сам, лайв сіді "стрелєц" якраз допоміг, я тоді забрав трохи місця із двох дисків то все діло пересунув до диску ц і обєднав, все швидко в акроніксі але коли вінда загружатиметься готуйся на години дві втикати на екран "чекдіск" він буде все перевіряти

[dimon18]

Якщо все таки проста зміна розширення не вертає файл, я думаю там побайтова заміна значень з генерацією певного хеш ключа для відновлення. Хеш код у Вас на скріні. Алгоритм шифрування вгадати буде складнувато.

Потрібно буде мабуть:

- мати файл точно ідентичний до шифрування і після

- отримати тіло вірусу

- розглянути його в асемблері (порібні знання)

- згенерувати програму дешифратор або виділити механізм дешифрації (я думаю він там є)

Якщо у Вас нема ресурсів і інформація в файлах не несе такого великого значення щоб за неї платити гроші за дешифрацію, форматуйте

Проста заміна розширення нічого не дає. Там закодували файл, а не змінили розширення.

[MACCEN]

шукай рішення на сайті доктора веба, тижня два потратив на таку фігню.

Прийшов співробітниці звичайний лист і так співпало що вона парцювала в постачанні, тіпа там док файл прийшов з прайсом, і вона відкрила, всі файли шифранулись.

[dimon18]

да почитайте статтюподивіться скріни, хто вірить у розшифровку, багато ілюзій відпаде

ще одна стаття

http://securelist.ru...razbushevalsya/

ідея вибрати 1-2 важливих файли і попросити розкодувати на пробу, ну що мол гроші я заплачу, але чи ви зможете розкодувати.

Я готовий заплатити кошти, Ви мені допомогти можите?

[Harddriver]

Да. № карти 4732 2171 0734 5440 (шютка)

Друже, там нема нічо складного - шукай контакт кулхацкера, пиши пісьмо, все вище описано. В кнопочки тицяти за тебе тімвьювіером ніхто не буде, ну, забезплатно звісно

[LSD]

О, з цього місця подетальніше

Усі програми на архутектурі IBM x86 перетворюються в двійкові інструкції для мікропроцесора.

Є спеціальні програми відладчики, дисасемблери які будь який екзешнік розкладають в структуру читабельну на асемблері.

Там можна відладити виклики програми виділити структурні модуля, повидаляти їх чи виділити в окрему програму

Так в свій час лічилися старфорси. Да і будь яка програма де ліцензія лічиться заміною екзешника як правила оброблена цими засобами і механізм перевірки ліцензії видалений з екзешника

[Lisovic]

LSD, я тобі відкрию страшну таємницю, що з зашифрованими файлами таке не проходить. Якщо алгоритм RSA то не маючи закритого ключа розшифрувати не вийде, в незалежності наскільки добре ви володієте ассемблером.

Ну точніше є імовірність віднайти закритий ключ, маючи оригінал і зашифрований файл, але для цього мало володіти лише ассемблером, і при певній довжині ключа, ця задача стає надто складною і довготривалою.

[starOFF]

Ахах у меня вирус вот вам файл. Через какое то время все дружно матерятся что у всех вирус и что делать! Автор

[LSD]

LSD, я тобі відкрию страшну таємницю, що з зашифрованими файлами таке не проходить. Якщо алгоритм RSA то не маючи закритого ключа розшифрувати не вийде, в незалежності наскільки добре ви володієте ассемблером.

Ну точніше є імовірність віднайти закритий ключ, маючи оригінал і зашифрований файл, але для цього мало володіти лише ассемблером, і при певній довжині ключа, ця задача стає надто складною і довготривалою.

Планується розкидати в асемблері саме тіло вірусу, а не биті файли, для отримання алгоритму шифрації. Я особисто думмаю що саме тіло програми вкладено механізм дешифрації. Хоча якщо це реалізовано окремою утілітою то потрібно аналізувати модальні виклики та отримувати результат для кожної одиничної операції шифрації. Да і якщо використовується ключ то я згіден що це буде довго і геморно.(хоча я думаю що ключ лежить у автора на екрані) .

Чесно кажучи якщо вони небагато просять за дешифрацію спробуйте, бекапте дані, лічіть, форматуйте.

[Lisovic]

LSD, почитай про RSA, алгоритм шифрації відомий, ключ яким зашифровано теж, але всеодно без закритого ключа нічого не вийде, а його в тілі віруса немає.

[Harddriver]

О, з цього місця подетальніше

Усі програми на архутектурі IBM x86 перетворюються в двійкові інструкції для мікропроцесора.

Є спеціальні програми відладчики, дисасемблери які будь який екзешнік розкладають в структуру читабельну на асемблері.

Там можна відладити виклики програми виділити структурні модуля, повидаляти їх чи виділити в окрему програму

Так в свій час лічилися старфорси. Да і будь яка програма де ліцензія лічиться заміною екзешника як правила оброблена цими засобами і механізм перевірки ліцензії видалений з екзешника

Ой, дякую, просвітив І ти пропонуєш тепер тепер альтернативно обдарованому юзверю, який своїми кривими руцями сам інсталював віря, бо на порносайті віконечко вискочило, "inslall flash-player то SEE ALL OF PORNO", а він тупанув даванув ) Ассемблер йому вчити, поможе, еге-ж

Крякі на гами ліпити - це ще не протокол обміну віря з комцентром який під TOR-ом (який маэ 2 (два) рівня шифрації, чи цепочкою "дедіків" що починається в Науру перехоплювати, зашифрований добрим RSA чи MD5 ктамуш, ага.

[AndVan]

Це все прикольно, що є дискусія з гонами та шуточками. Але пробема не вирішена і мені від того не легше.

Скажіть хтось може допомогти в даній ситуації.

На рахунок http://securelist.ru/blog/issledovaniya/24070/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/ нічого не допомогло. З доктора веба дали відповідь, що не допопожуть, бо працюють лише з "ліцензійними" користувачами. Можли хтось має ключ на веб, щоб вони дали ще відповідь.

[Lisovic]

AndVan, на http://virusinfo.info були, задавали там питання? Якщо там недопоможуть, тоді шансів на позитивне вирішення проблеми дуже мало.

[Harddriver]

Та не поможуть тобі ключі. Кодера шукай. І суму - озвуч (вона зазвичай ділиться на 2 частини, перша в будь-якому випадку не повертається)

Інакше:

До речі, не виключений такий варіант, що його (вірь) хтось таки з часом "крякне", окуратно згреби зашифроване і монітор інет на предмет чи навчилися боротись з ним, хоча, якщо там шифрування і комцентр - зливай воду.

[AndVan]

Та не поможуть тобі ключі. Кодера шукай. І суму - озвуч (вона зазвичай ділиться на 2 частини, перша в будь-якому випадку не повертається)

Інакше:

До речі, не виключений такий варіант, що його (вірь) хтось таки з часом "крякне", окуратно згреби зашифроване і монітор інет на предмет чи навчилися боротись з ним, хоча, якщо там шифрування і комцентр - зливай воду.

Готовий 500 грн. дати за рішення проблеми. Мені б лише фото зберегти, інші файли не так важливі.

[tmt]

Ще одна стаття на цю ж тему. ресурс правда для "юношеского максималізму" але описано доступно -

https://xakep.ru/2014/03/26/62262/

А якщо серйозно, то не хочу нікого ображати, але почитавши суть проблеми і маючи деякий досвід, можу вам на 99.999999% сказати, що ні знання ассемблера, ні знайомі кодери, ні математики, ні шифровальщики, ні куми з ДокторВебу, ні ясновидячі, та що там говорити - навіть "енігма" в коморі - без відомого "приватного ключа" в дешифрації вам НЕ ДОПОМОЖУТЬ!!! Для шифрації використовуються стійкі алгоритми та судячи по скріншотам, ключі теж використовуютьсь не прості.

На варіант що вірь крякнуть теж не розраховуйте, нема там що крякати. Крякать нада їхню БД, але це вже інша історія.

П.С.

Звідси ще раз підверджується, що жертви злому богу БЕКАПУ потрібно приносити регулярно, причому не тільки айтішнікам.

П.П.С.

А взагалі, я б за такі дії у випадку доведення вини - вводив би публічне відрубування обох кінцівок таким ділкам охочим до наживи. Причому не залежно від статі, країни і від строку давності злочину.

[Zevs_Isver]

Готовий 500 грн. дати за рішення проблеми. Мені б лише фото зберегти, інші файли не так важливі.

а "злобні хакери скільки" просять ?

[MACCEN]

Пиши в скайп oleg.maccen спробую помогти

[AndVan]

Ок. завтра напишу

[AndVan]

Готовий 500 грн. дати за рішення проблеми. Мені б лише фото зберегти, інші файли не так важливі.

а "злобні хакери скільки" просять ?

/+

Суми взагалі ніякої немає. Там вказані тільки силки по яких потрібно перейти.

П.С. але вони не дійсні. потрібно качати пейний браузер, що він побачив ці посилання.

П.П.С. ні телефонів ні пошти немає вказаної.

[AndVan]

Носив до спеціаліста ноут з цією проблемою. Каже, що перша частина дешифратора у мене на ноуті, а друга частина в інтернеті на сервері назвни не памятаю.

Тому щоб достати другу частину дешифратора потрібно взламати сервак. Самі розімієте на скільки це можливо .

Зараз касперський ламає цей вірус, тому шанси зберігаються. Тепер залишилось чекати..

[Yrkesh]

Ситуація подібна до проблеми ТС.

знакомий звернувся за допомогою у вирішенні проблеми на компі.

якась паскуда вірус змінила розширення всіх файлів зображень додавши в кінці ".aakwopn".

відповідно тепер жодне зображення не відкривається.

скоріше всього, що файли були зашифровані...

видалення ".aakwopn" з розширення - не допомагає.

утиліти від Касперского (RectorDecryptor, XoristDecryptor) - не допомогли.

можливо хтось підскаже, де шукати вирішення проблеми?