Версия, подходяща за принтиране
Кликни тук, за да видиш темата в оригиналният и вид |
BG Development Форуми > Компютърна сигурност > Wrui VIRUS |
Публикувано от: Browncho 02-05-2021, 14:14 |
Здравейте, Днес си преинсталирах Windows защото се получиха проблеми в работата му. Сега разбрах че е бил заразен с много коварен вирус преименуващ файловете с разширение wrui. Доколкото разбирам е необходимо да заплатя някаква такса на измамниците и ще получа ключа за стартиране на файловете. Всички файлове ги запазих на USB флашка, но за съжаление не могат да се прочетет по никакъв начин. При опит да поправя разширението на файла те не се четат по правилния начин. За този вирус става дума - https://howtofix.guide/wrui-ransomware/ Въпроса ми е как да възстановя файловете си? |
Публикувано от: PxL 02-05-2021, 21:18 |
До колкото знам djvu типовете не криптират целите файлове, а само буферна част, при късмет може да е само заглавната част, което прави файла нечетим от софтуера, но данните може и да не са криптирани. Може да опиташ като начало с някоя криптирана снимка с нещо от типа на https://www.cgsecurity.org/wiki/PhotoRec, което ще възстанови заглавната част. Ако са текстови документи най-вероятно са "изгърмяли", почти няма шанс да се декриптират без ключа, който няма как да се вземе. Този тип софтуери ползват нещо от вида на AES с 256 битов ключ обикновено. |
Публикувано от: Антон Яначков 03-05-2021, 09:47 |
Криптираните файлове ги забрави, но се опитай да си спомниш, къде другаде си ги запазил. Ако информацията ти е била действително ценна, значи ги имаш и другаде. Преди няколко години, аз умишлено заразих компютъра си с подобен криптиращ вирус, като имах имах копия на файловете, които вируса криптираше. Направих го от академичен интерес, да пробвам да намеря ключа, като имам криптиран и некриптиран файл. Крайният резултат беше единствено загуба на време. Все пак научих по трудния начин, че декриптирането е страшно сложна задача и тя е извън моите възможности, въпреки че се бях подготвил със серия прости файлчета, които съдържаха само една цифра или една буква. Единствена буквата А в два различни файла изглеждаше съвършено различно, отделно, че криптираните файлове бяха с различна големина и смущаващото беше, че тази големина, като байтове е по-малка от некриптираните файлове. Излиза, че вируса дори некриптира с един и същи ключ, след като еднакви файлове, с еднакви имена ( в различни директории ) изглеждат съвършенно различно и дори са с различна големина. Според мен, без софуера, който е криптирал файловете, нямаш шанс да възстановиш информацията. Но винаги можеш да се пробваш. Желаята ти успех! |
Публикувано от: SuN 03-05-2021, 17:48 | ||
Може защитата от хакери да те е усетила и програмата да е използвала one time pad. Декриптирането вероятно работи правилно за легитимни потребители на софтуера. |
Публикувано от: Антон Яначков 03-05-2021, 19:56 | ||
Сега като се замисля, може да се окаже, че не е бил един вирус, а цял пакет от различни щамове. Ама това за щамовете започна да ми светва едва в пандемията. Все пак наблюдавах скоростта на реалния процес на заразяване и криптиране на файловете. Скоростта определено беше завидно висока. За по-малко от 3 минути, вируса приключи криптирането. |
Публикувано от: PxL 04-05-2021, 00:44 | ||||
Да, именно, защото няма да ти криптира 15G файл, за "обикновеният" потребител достатъчно да сложи 256 битов буфер в началото и да го криптира, и те да не могат да го "отворят" после с "дАбЪл клик". (Честно казано за повечето Windows-ки приложения е достатъчно само да омаже файловият идентификатор, за да нямат идея какъв е тоя файл) |