Jak dekryptovat virem zašifrované soubory?
Včera jsem byl u zákazníka, kterému vlezl do PC virus. Ve chvíli, kdy jsem se k PC dostal, už zřejmě nebyl aktivní, našel jsem ho odchycený v karanténě AVGčka. Pro jistotu jsem disk proskenoval v jiném PC a byl čistý. Nicméně virus po sobě zanechal spoušť v podobě spousty zašifrovaných dokumentů a excelovských tabulek. Toto se projevuje tak, že při pokusu otevřít soubor, word ohlásí poškozený soubor a nabídne opravu porušeného obsahu. Ve chvíli, kdy tuhle akci povolíte, objeví se jako obsah souboru následující text:
The file is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL-ALT-D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened сheck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
jelikož DirtyDecrypt.exe už v PC není, a zřejmě ani "matka" není aktivní, tak se po stisku CTRL-ALT-D neděje nic, jen se do dokumentu přidá nějaké formátování. Pokud by byl aktivní, tak by chtěl za odšifrování 100€ 
Stáhnul jsem dva programy - Kaspersky Rannoh Decryptor a Panda Ransomware Decrypt tool. Ani jeden si s dekryptováním neporadil. Podařilo se mi na disku vyhledat pár shodných souborů zakryptovaných i nezakryptovaných, ale Kaspersky na nich hlásí neshodnou délku (blbost, jsou stejně dlouhé, ověřoval jsem to v TC) a Panda sice najde dekryptovací klíč, ale hlásí No files to decrypt.
Co včil? Ty soubory jsou už zřejmě v pekle, že?
Co presne zachytil ten AVG a kde to presne bolo?
AVG zachytil DirtyDecrypt.exe jako nějaký Ransomware trojan, a pak ještě pár dalších věcí, ale nevím přesně, ten PC je teď asi 50km ode mně
A skus tie dokumenty este otvorit pomocou open office, len tak zo srandy. A na nejakom inom PC idealne, HDD v nom len ako datovy disk
A len tak mimochodom ak si dal ten subor opravovat a potom ulozil tak uz v nom asi moc povodneho textu nebude.
Inac jedine antiviraky a pokusat sa dekryptovat. Keby sa nudil niekto kto ma znalosti tak by ten vir zdebugoval a skusil bruteforcovat kluc apod. ale zavisi jak to je zakryptovane moze to ist a nemusi to ist.
Neukládal jsem ho. Při dalším otevření hlásil opět že je poškozený a nabídl opravu. OpenOffice mě taky napadlo, ale neměl jsem sebou instalačku a tahat to z netu na 256k lajně se mi moc nechtělo
A tu pandu si pouzil asi blbo. Princip je
1. zvolis zlozku v ktorej su vsetky zakryptovane subory.
2. das mu jeden subor ktory je nezasifrovana zaloha nejakeho z tych zasifrovanych suborov
3. on najde kluc a odsifruje ostatne subory v tej zlozke zvolenej v kroku 1.
logicky nebude rozsifrovavat ten subor ktory mas aj original verziu, ptz mas original verziu, on sa snazi potom rozsifrovat ostatne zasifrovane subory v tej zlozke (ked tam neni nic ine tak napise no files to decrypt). Dal si mu zlozku v ktorej boli povodne vsetky tie subory?
Pandu jsem použil nejdřív v auto módu - pustil jsem ho do složky se zakryptovanýma souborama. Klíč nenašel, takže jsem zvolil Advanced mode, předhodil jsem mu Original a Encrypted (shodné soubory z nichž jeden byl virem nedotknutý) a pustil ho do složky se zašifrovanýma souborama. Našel klíč, ale hlásil No files to Decrypt. Těch zašifrovaných souborů byl v té složce asi padesát a ten nezašifrovaný byl v jiné složce.
Skús: www.bleepingcomputer.com
To by mohlo být, včera jsem to nenašel
Dík.
Zdravíčko,
mám stejný problém jako vy - došel jste k zdárnému konci? Panda mi hlásí to samé a ten druhý prográmek, který zde byl doporučen mi nic nenajde i přes to, že mu nabízím x desítek zašifrovaných věcí.
Děkuji za případné rady na LagnerPetr@seznam.cz
S pozdravem
Petr
na mail ti nikdo psat nebude tohle je verejna poradna
To by si sa divil, koľko mailov mu teraz príde (roboti nespia...)
- Mozna budu budu trosku od veci, ale z obdobnym problemem jsem se setakal a vyresil jsem to s "Kaspersky decrypter" se kterym se podarilo z 90% vratit infikovane soubory do puvodniho stavu..
- Necham odkaz, pro ty co maji zajem vyzkouset encryption
Je to už doba co jsi to psal, ale díky moc za radu pomohlo mi to opravit soubory podnikání a další velice důležité soubory. Zkoušel jsem toho hodně ale tento opravdu pomohl nejlíp a vše vrátil. Jen doufám, že vir ještě není někde v těch souborech