Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Jak dekryptovat virem zašifrované soubory?

Včera jsem byl u zákazníka, kterému vlezl do PC virus. Ve chvíli, kdy jsem se k PC dostal, už zřejmě nebyl aktivní, našel jsem ho odchycený v karanténě AVGčka. Pro jistotu jsem disk proskenoval v jiném PC a byl čistý. Nicméně virus po sobě zanechal spoušť v podobě spousty zašifrovaných dokumentů a excelovských tabulek. Toto se projevuje tak, že při pokusu otevřít soubor, word ohlásí poškozený soubor a nabídne opravu porušeného obsahu. Ve chvíli, kdy tuhle akci povolíte, objeví se jako obsah souboru následující text:

The file is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL-ALT-D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened сheck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

jelikož DirtyDecrypt.exe už v PC není, a zřejmě ani "matka" není aktivní, tak se po stisku CTRL-ALT-D neděje nic, jen se do dokumentu přidá nějaké formátování. Pokud by byl aktivní, tak by chtěl za odšifrování 100€ :-D

Stáhnul jsem dva programy - Kaspersky Rannoh Decryptor a Panda Ransomware Decrypt tool. Ani jeden si s dekryptováním neporadil. Podařilo se mi na disku vyhledat pár shodných souborů zakryptovaných i nezakryptovaných, ale Kaspersky na nich hlásí neshodnou délku (blbost, jsou stejně dlouhé, ověřoval jsem to v TC) a Panda sice najde dekryptovací klíč, ale hlásí No files to decrypt.

Co včil? Ty soubory jsou už zřejmě v pekle, že?

Předmět Autor Datum
Co presne zachytil ten AVG a kde to presne bolo?
MM.. 10.07.2013 17:38
MM..
AVG zachytil DirtyDecrypt.exe jako nějaký Ransomware trojan, a pak ještě pár dalších věcí, ale nevím…
mia 10.07.2013 18:05
mia
A skus tie dokumenty este otvorit pomocou open office, len tak zo srandy. A na nejakom inom PC ideal…
MM.. 10.07.2013 17:43
MM..
Neukládal jsem ho. Při dalším otevření hlásil opět že je poškozený a nabídl opravu. OpenOffice mě ta…
mia 10.07.2013 18:10
mia
A tu pandu si pouzil asi blbo. Princip je 1. zvolis zlozku v ktorej su vsetky zakryptovane subory. 2…
MM.. 10.07.2013 17:49
MM..
Pandu jsem použil nejdřív v auto módu - pustil jsem ho do složky se zakryptovanýma souborama. Klíč n…
mia 10.07.2013 18:03
mia
Skús: www.bleepingcomputer.com
pme 10.07.2013 18:06
pme
To by mohlo být, včera jsem to nenašel :-) Dík.
mia 10.07.2013 18:12
mia
Zdravíčko, mám stejný problém jako vy - došel jste k zdárnému konci? Panda mi hlásí to samé a ten dr…
Lagner Petr 10.08.2013 19:57
Lagner Petr
na mail ti nikdo psat nebude tohle je verejna poradna
Boboo 10.08.2013 21:19
Boboo
To by si sa divil, koľko mailov mu teraz príde (roboti nespia...) :-)
pme 10.08.2013 21:21
pme
- Mozna budu budu trosku od veci, ale z obdobnym problemem jsem se setakal a vyresil jsem to s "Kasp…
CoCoChanel 11.08.2013 10:43
CoCoChanel
Je to už doba co jsi to psal, ale díky moc za radu pomohlo mi to opravit soubory podnikání a další v… poslední
Infarkt 10.08.2014 01:42
Infarkt

AVG zachytil DirtyDecrypt.exe jako nějaký Ransomware trojan, a pak ještě pár dalších věcí, ale nevím přesně, ten PC je teď asi 50km ode mně :-)

A skus tie dokumenty este otvorit pomocou open office, len tak zo srandy. A na nejakom inom PC idealne, HDD v nom len ako datovy disk
A len tak mimochodom ak si dal ten subor opravovat a potom ulozil tak uz v nom asi moc povodneho textu nebude.
Inac jedine antiviraky a pokusat sa dekryptovat. Keby sa nudil niekto kto ma znalosti tak by ten vir zdebugoval a skusil bruteforcovat kluc apod. ale zavisi jak to je zakryptovane moze to ist a nemusi to ist.

Neukládal jsem ho. Při dalším otevření hlásil opět že je poškozený a nabídl opravu. OpenOffice mě taky napadlo, ale neměl jsem sebou instalačku a tahat to z netu na 256k lajně se mi moc nechtělo :-)

A tu pandu si pouzil asi blbo. Princip je
1. zvolis zlozku v ktorej su vsetky zakryptovane subory.
2. das mu jeden subor ktory je nezasifrovana zaloha nejakeho z tych zasifrovanych suborov
3. on najde kluc a odsifruje ostatne subory v tej zlozke zvolenej v kroku 1.
logicky nebude rozsifrovavat ten subor ktory mas aj original verziu, ptz mas original verziu, on sa snazi potom rozsifrovat ostatne zasifrovane subory v tej zlozke (ked tam neni nic ine tak napise no files to decrypt). Dal si mu zlozku v ktorej boli povodne vsetky tie subory?

Pandu jsem použil nejdřív v auto módu - pustil jsem ho do složky se zakryptovanýma souborama. Klíč nenašel, takže jsem zvolil Advanced mode, předhodil jsem mu Original a Encrypted (shodné soubory z nichž jeden byl virem nedotknutý) a pustil ho do složky se zašifrovanýma souborama. Našel klíč, ale hlásil No files to Decrypt. Těch zašifrovaných souborů byl v té složce asi padesát a ten nezašifrovaný byl v jiné složce.

Zdravíčko,
mám stejný problém jako vy - došel jste k zdárnému konci? Panda mi hlásí to samé a ten druhý prográmek, který zde byl doporučen mi nic nenajde i přes to, že mu nabízím x desítek zašifrovaných věcí.
Děkuji za případné rady na LagnerPetr@seznam.cz
S pozdravem
Petr

- Mozna budu budu trosku od veci, ale z obdobnym problemem jsem se setakal a vyresil jsem to s "Kaspersky decrypter" se kterym se podarilo z 90% vratit infikovane soubory do puvodniho stavu..
- Necham odkaz, pro ty co maji zajem vyzkouset encryption

Je to už doba co jsi to psal, ale díky moc za radu pomohlo mi to opravit soubory podnikání a další velice důležité soubory. Zkoušel jsem toho hodně ale tento opravdu pomohl nejlíp a vše vrátil. Jen doufám, že vir ještě není někde v těch souborech:-)

Zpět do poradny Odpovědět na původní otázku Nahoru