Форум города Пущино: НАШ ФОРУМ
 
Облако тегов:
Навигация форума:
Герб города ПущиноФорум Пущино  

Для полноценной работы с сайтом вам необходимо установить Adobe Flash Player не ниже 10-ой версии.

Вернуться   Форум города Пущино > Hard & Soft > Информационная безопасность
На главную Форумы Регистрация Правила форума Русская баняДневники Сообщения за день
Важная информация

Информационная безопасность Антивирусы, Firewall и другие средства защиты от злоумышленников.

Оценка этой теме - Опасный вирус в локалке шифрует файлы.
(14)
Рейтинг темы: голосов - 14, средняя оценка - 4.79.

Ответ
 
Опции темы Опции просмотра
Старый 06.08.2013, 10:57   #106
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от OldUser
Часть файлов удалось восстановить благодаря явашему декодеру А4, за что Вам огромное спасибо.
Но есть файлы из тго же каталога и их достаточно много (атрибуты удаляли) которые раскодировке не поддаются, (неудача, имя есть а длина -0)


У меня они расшифровались, быть может проблема в пути к файлу, попробуйте скопировать в папку вроде "C:\1111\" или подобное.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 06.08.2013, 11:13   #107
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от ROC
Te94decrypt.exe. Для дешифровки файлов от Trojan.Cncoder94/99

У меня на тестовом архиве (avz4.zip.barbitariat) создал 87 вариантов расшифрованных файлов, но ни один из них не оказался корректным. Проверял с помощью WinRar - тестирование архива.

"decoder - barbitariat.exe" тоже эти архивы расшифровывает с ошибкой.
Есть еще "barbitariat recovery utilitty by Fezoo" - этот архивы расшифровывает корректно. на "проблемных" PDF пока проверить не успел.

Проблемный архив, который дешифруется с ошибкой с помощью "decoder - barbitariat.exe" прикладываю (в качестве примера архив программы avz версии 4.37 оригинал возможно наверное найти и на оф.сайте AVZ ,если там есть архивы старых версий, для проверки корректности расшифровки).
в архиве:
avz4.zip.barbitariat - зашифрованный файл
"barbitariat recovery utilitty by Fezoo" - файл с текстом вымогательства
avz4.zip - расшифрованный архив с помощью утилиты "barbitariat recovery utilitty by Fezoo"

P.S.> интернета дома пока еще нету, а файлики проблемных pdf забыл (точнее перепутал и взял не корректно расшифрованные вместо оригинальных) - так что пока их проверить не могу.
Вложения
Тип файла: rar 4.37.rar (14.25 Мб, 5 просмотров)
mrFiX вне форума   Ответить с цитированием
Старый 06.08.2013, 11:23   #108
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Во первых спасибо Вам за утилиту - она была первая и наверное пока еще остается единственной , которую можно скачать в открутом доступе и проверить.

Цитата:
Сообщение от Fireleo
У меня они расшифровались, быть может проблема в пути к файлу, попробуйте скопировать в папку вроде "C:\1111\" или подобное.

Ваша программа не всегда корректно обрабатывает файлы с пробелами в названии файла.
Типа сохраненная интернет-страничка в формат mht.
Если переименовать в имя без пробелов - то расшифровывает нормально, а на именах с пробелом выдает ошибку.
Примеры имен фалов смогу вечером из дома сказать.

P.S.> Еще Ваша утилита не отпускает файлы пока не закроешь программу, поэтому не возможно сразу после расшифровки удалить эти файлы из тестового каталога. Надо закрывать программу и только потом можно их удалить.

Файлы с "проблемным" архивом я выложил в предыдущем сообщении. pdf смогу только вечером дома проверить и если там тоже выявятся "проблемы" - скажу

Можно еще пожелания высказать ?
1)Когда идет обработка списка не маленьких файлов - программа "зависает" и не понятно работает или нет. Можно добавить какую-то визуализацию процесса работы и возможность прервать обработку, если случайно не тот каталог выбрал.
2) Если в каталоге с расшифровываемым фалом уже есть программа с оригинальным именем - то утилита ее просто перезаписывает без запросов и предупреждений. Наверное это может в каких-то случаях не очень хорошо сработать и затереть что-то "лишнее", не нужное удалять в данном случае
mrFiX вне форума   Ответить с цитированием
Старый 06.08.2013, 12:19   #109
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от mrFiX

"decoder - barbitariat.exe" тоже эти архивы расшифровывает с ошибкой.


Я не могу понять, почему, но не смотря что файлы совпадают до байта (как говорит WinHex), расшифрованый выдает ошибку. И контрольные суммы у них разные.Проблема в изменении даты последней модификации - меняется контрольная сумма архива.


Вообще спасибо, конечно за тестирование и предложения. Когда я в следующий раз возьмусь за доработку, то думаю перезалью все варианты с исправлениями, а пока, надеюсь будет достаточно ваших объяснений.

P.S. Программа не виснет, просто она отвечает на внешние запросы, только между обработкой файлов, если файл большой, то и кажется, что она зависла.

Последний раз редактировалось Fireleo; 06.08.2013 в 14:27.
Fireleo вне форума   Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013), mrFiX (06.08.2013)
Старый 06.08.2013, 13:10   #110
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
Проблема в изменении даты последней модификации - меняется контрольная сумма архива..

Вот что у меня дает сравнение двух расшифрованных архивов:
сравнении архива расшифрованного с помощью "barbitariat recovery utilitty by Fezoo" (первый столбик) и второго столбика (расшифрованный с помощью "decoder - barbitariat.exe" от Fireleo)
Код:
Сравнение файлов avz4.zip и D:\DOWNLOADS\0\2\AVZ4\4.37\AVZ4.ZIP
00157245: BB F8
00157246: 5A B2
00157247: 38 5B
00157248: 71 23
00157249: 68 A4
0015724A: AD FB
0015724B: D2 5C
0015724C: 26 08
0015724D: 28 87
0015724E: 09 1B
0015724F: EC B2
00157250: 54 32
00157251: 34 EF
00157252: 75 54
00157253: 10 BA
00157254: A4 02
00157255: 20 63
00157256: 99 71
00157257: 51 32
00157258: AC FE
00157259: 2D E1
0015725A: 5B 0D
0015725B: CA 44
0015725C: 36 18
0015725D: BB 14
0015725E: CC DE
0015725F: B4 EA
00157260: 51 37
00157261: 7D A6
00157262: 24 05
00157263: C4 6E
00157264: 70 D6

При тестировании архива расшифрованного с помощью "barbitariat recovery utilitty by Fezoo" WinRar ошибок не находит
А при тестировании архива расшифрованного с помощью "decoder - barbitariat.exe" от Fireleo WinRar выдает:
Код:
!   D:\Downloads\0\2\avz4\4.37\avz4.zip: Ошибка CRC в avz4\avz_ru.chm, файл повреждён
Проверяю на архивах - так как через тестирвоание можно найти мелкие ошибки которые в txt, doc, jpg , mp3 - на глаз можно не заметить.
Дома есть pdf которые после расшифровки утилитой "decoder - barbitariat.exe" от Fireleo становятся "кривыми".
Пример такого результата прикладываю. (расшифрованный pdf с ошибкой я взял на работу вместо зашифрованного файла). Посмотрите на окончание страницы 7 - там сбой, которого в оригинальном файле не было. Декодер (Fireleo) на этот файл говорит что расшифровано Успешно.
Вложения
Тип файла: pdf V1j.pdf (2.64 Мб, 2 просмотров)
mrFiX вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо mrFiX за это полезное сообщение:
Fireleo (06.08.2013)
Старый 06.08.2013, 13:15   #111
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
P.S. Программа не виснет, просто она отвечает на внешние запросы, только между обработкой файлов, если файл большой, то и кажется, что она зависла.

Я то это понимаю. Но "неопытных" может напугать ;-)
mrFiX вне форума   Ответить с цитированием
Старый 06.08.2013, 14:09   #112
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Вот что у меня дает сравнение двух расшифрованных архивов:

Ага, верно это я ступил, сравнивал не весь файл, а только сколько-там первых байт. (то-то я сообразить не мог, как так файлы одинаковы, а контрольная сумма разная, аж всякие глупости выдумывать начал.)

И в декодере накосячил, перезалью через пару минут свой. Архив тест проходит.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
shamarin (06.08.2013)
Старый 06.08.2013, 14:17   #113
Приглядываюсь к форуму
Курсант
 

Регистрация: 02.08.2013
Сообщений: 12
Вы сказали Спасибо: 2
Поблагодарили 0 раз(а) в 0 сообщениях
shamarin пока неопределено; 0%shamarin пока неопределено, 0%shamarin пока неопределено, 0%
Очки: 38, Уровень: 1 Очки: 38, Уровень: 1 Очки: 38, Уровень: 1
Опыт: 76% Опыт: 76% Опыт: 76%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Мне помог дешифратор, barbitariat - побеждён!
Огромная благодарность всем, кто помогал, особенно Fireleo!
shamarin вне форума   Ответить с цитированием
Старый 06.08.2013, 14:58   #114
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
И в декодере накосячил, перезалью через пару минут свой. Архив тест проходит.

Замечательно, что разобрались. Жду новую версию.
Вечером еще дома на pdf "проблемных" проверю.

Лучше щас перебдеть, чем потом через некоторое время обнаружить что файлы которые казались корректными на самом деле с "брачком" и не извлекаются из архивов или как в pdf - страницы запорчены.
mrFiX вне форума   Ответить с цитированием
Старый 06.08.2013, 15:23   #115
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от shamarin
Мне помог дешифратор, barbitariat - побеждён!

Повнимательней проверяйте файлы. В дешифраторе была ошибочка, при которой некоторые файлы расшифровывались не совсем корректно.
mrFiX вне форума   Ответить с цитированием
Старый 06.08.2013, 15:32   #116
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от mrFiX
Повнимательней проверяйте файлы. В дешифраторе была ошибочка, при которой некоторые файлы расшифровывались не совсем корректно.

Кстати, да, последнюю исправленную версию, еще никто не скачал.

В предыдущей была ошибка!

Новая версия:
Вложения
Тип файла: exe decoder - barbitariat.exe (571.0 Кб, 120 просмотров)

Последний раз редактировалось Fireleo; 06.08.2013 в 16:36.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 06.08.2013, 15:57   #117
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
Кстати, да, последнюю исправленную версию, еще никто не скачал.

В предыдущей была ошибка!

А где новая версия ? Лучше в новом сообщении разместить что бы народ не путался старая-новая.
mrFiX вне форума   Ответить с цитированием
Старый 06.08.2013, 16:11   #118
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

В последней версии архивы корректно обрабатываются. Так что кто пользовался старой версией - Вам надо заново обработать свои файлы
mrFiX вне форума   Ответить с цитированием
Старый 07.08.2013, 15:16   #119
Новенький
 

Регистрация: 07.08.2013
Сообщений: 2
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
pertcevnikolay пока неопределено; 0%pertcevnikolay пока неопределено, 0%pertcevnikolay пока неопределено, 0%
Очки: 5, Уровень: 1 Очки: 5, Уровень: 1 Очки: 5, Уровень: 1
Опыт: 9% Опыт: 9% Опыт: 9%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Добрый день!!!

Народ помогайте на компе в офисе завелся злой вирус!! картинка с текстом и пираты с калашами!! только вот файлы он зашифровал вот таким образом : мармелад.pdf.zero@dbzmail.com_IQ83
pertcevnikolay вне форума   Ответить с цитированием
Старый 07.08.2013, 15:59   #120
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от pertcevnikolay
Добрый день!!!

Народ помогайте на компе в офисе завелся злой вирус!! картинка с текстом и пираты с калашами!! только вот файлы он зашифровал вот таким образом : мармелад.pdf.zero@dbzmail.com_IQ83

А файлы ваши , вы предлагаете расшифровывать удаленно по фотографии? Так ведь даже её нет.

Выложите несколько зашифрованных файлов, разных форматов и размеров. В идеале - пары зашифрованный файл и оригинальный.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Ответ

Метки
.barbitariat, .vault, decr03@mail.ru, rdp, sos на мыло, te94decrypt.exe, trojan.encoder.94, vault, zubagugu@aol.com, бабосы, взлом, вирус, восстановить, дешифратор, доброго время суток, заблокированы, кокосы, новость, пароль, повреждены, салют буржуа, файловоз, файлы, шифр, шифрователь


Здесь присутствуют: 3 (пользователей: 0 , гостей: 3)
 

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 23:48.

Форум города Пущино: Наш Форум

Форум о жителях города Пущино пущинцах Московской области.

Внимание!Администрация сайта не несет ответственности за сообщения и материалы, оставленные посетителями форума.

Вся информация предоставлена в ознакомительных целях.

Внимание! Все файлы на сервере проверены Антивирусом Касперского.




Все права защищены © 2024 Форум города Пущино

Яндекс цитирования Яндекс.Метрика


Время генерации страницы 0.31741 секунды с 17 запросами