BG Development


  Reply to this topicStart new topicStart Poll

> Wrui VIRUS, Как да възстановя файловете
Browncho
Публикувано на: 02-05-2021, 14:14
Quote Post



Име:
Група: Потребител
Ранг: Новопостъпил

Мнения: 7
Регистриран на: 19.04.21



Здравейте,

Днес си преинсталирах Windows защото се получиха проблеми в работата му. Сега разбрах че е бил заразен с много коварен вирус преименуващ файловете с разширение wrui. Доколкото разбирам е необходимо да заплатя някаква такса на измамниците и ще получа ключа за стартиране на файловете.

Всички файлове ги запазих на USB флашка, но за съжаление не могат да се прочетет по никакъв начин. При опит да поправя разширението на файла те не се четат по правилния начин.

За този вирус става дума - https://howtofix.guide/wrui-ransomware/

Въпроса ми е как да възстановя файловете си?
PMEmail Poster
Top
PxL
Публикувано на: 02-05-2021, 21:18
Quote Post


Group Icon
Име: Димитър Т. Димитров
Група: VIP
Ранг: Почетен член

Мнения: 3526
Регистриран на: 26.04.05



До колкото знам djvu типовете не криптират целите файлове, а само буферна част, при късмет може да е само заглавната част, което прави файла нечетим от софтуера, но данните може и да не са криптирани. Може да опиташ като начало с някоя криптирана снимка с нещо от типа на https://www.cgsecurity.org/wiki/PhotoRec, което ще възстанови заглавната част.

Ако са текстови документи най-вероятно са "изгърмяли", почти няма шанс да се декриптират без ключа, който няма как да се вземе. Този тип софтуери ползват нещо от вида на AES с 256 битов ключ обикновено.


Това мнение е било редактирано от PxL на 03-05-2021, 00:46


--------------------
void putchar(char c);int main(){int x,c=1,i;for(i=0;(x="PxLY2H4:2E;7231?=68255A5S5P9N:N9O84111H861I85111G9N:O811O812M<G33911EAEDBECE22169D1=2k"[i+++3]);)while(x-->'0')putchar((!(++c%'('))?0x0a:33^(i&1));}
PMEmail PosterUsers Website
Top
Антон Яначков
Публикувано на: 03-05-2021, 09:47
Quote Post



Име: Антон Яначков
Група: Потребител
Ранг: Почетен член

Мнения: 2249
Регистриран на: 27.07.16



Криптираните файлове ги забрави, но се опитай да си спомниш, къде другаде си ги запазил. Ако информацията ти е била действително ценна, значи ги имаш и другаде.
Преди няколко години, аз умишлено заразих компютъра си с подобен криптиращ вирус, като имах имах копия на файловете, които вируса криптираше. Направих го от академичен интерес, да пробвам да намеря ключа, като имам криптиран и некриптиран файл. Крайният резултат беше единствено загуба на време. Все пак научих по трудния начин, че декриптирането е страшно сложна задача и тя е извън моите възможности, въпреки че се бях подготвил със серия прости файлчета, които съдържаха само една цифра или една буква. Единствена буквата А в два различни файла изглеждаше съвършено различно, отделно, че криптираните файлове бяха с различна големина и смущаващото беше, че тази големина, като байтове е по-малка от некриптираните файлове. Излиза, че вируса дори некриптира с един и същи ключ, след като еднакви файлове, с еднакви имена ( в различни директории ) изглеждат съвършенно различно и дори са с различна големина. Според мен, без софуера, който е криптирал файловете, нямаш шанс да възстановиш информацията. Но винаги можеш да се пробваш. Желаята ти успех!
PMEmail PosterUsers Website
Top
SuN
Публикувано на: 03-05-2021, 17:48
Quote Post


Group Icon
Име:
Група: Администратор
Ранг: Почетен член

Мнения: 11831
Регистриран на: 27.01.05



QUOTE
Все пак научих по трудния начин, че декриптирането е страшно сложна задача и тя е извън моите възможности, въпреки че се бях подготвил със серия прости файлчета, които съдържаха само една цифра или една буква.

Може защитата от хакери да те е усетила и програмата да е използвала one time pad. Декриптирането вероятно работи правилно за легитимни потребители на софтуера. icon_smile.gif


--------------------
Само аз не троля.
Всички коментари са плод на художествена измислица и нямат общо с действителни и недействителни лица, събития и факти.
PMEmail Poster
Top
Антон Яначков
Публикувано на: 03-05-2021, 19:56
Quote Post



Име: Антон Яначков
Група: Потребител
Ранг: Почетен член

Мнения: 2249
Регистриран на: 27.07.16



QUOTE (SuN @ 03-05-2021, 17:48)
Може защитата от хакери да те е усетила и програмата да е използвала one time pad. Декриптирането вероятно работи правилно за легитимни потребители на софтуера. icon_smile.gif

Сега като се замисля, може да се окаже, че не е бил един вирус, а цял пакет от различни щамове. Ама това за щамовете започна да ми светва едва в пандемията. Все пак наблюдавах скоростта на реалния процес на заразяване и криптиране на файловете. Скоростта определено беше завидно висока. За по-малко от 3 минути, вируса приключи криптирането.
PMEmail PosterUsers Website
Top
PxL
Публикувано на: 04-05-2021, 00:44
Quote Post


Group Icon
Име: Димитър Т. Димитров
Група: VIP
Ранг: Почетен член

Мнения: 3526
Регистриран на: 26.04.05



QUOTE (Антон Яначков @ 03-05-2021, 20:56)
QUOTE (SuN @ 03-05-2021, 17:48)
Може защитата от хакери да те е усетила и програмата да е използвала one time pad. Декриптирането вероятно работи правилно за легитимни потребители на софтуера. icon_smile.gif

Сега като се замисля, може да се окаже, че не е бил един вирус, а цял пакет от различни щамове. Ама това за щамовете започна да ми светва едва в пандемията. Все пак наблюдавах скоростта на реалния процес на заразяване и криптиране на файловете. Скоростта определено беше завидно висока. За по-малко от 3 минути, вируса приключи криптирането.

Да, именно, защото няма да ти криптира 15G файл, за "обикновеният" потребител достатъчно да сложи 256 битов буфер в началото и да го криптира, и те да не могат да го "отворят" после с "дАбЪл клик". (Честно казано за повечето Windows-ки приложения е достатъчно само да омаже файловият идентификатор, за да нямат идея какъв е тоя файл)

Това мнение е било редактирано от PxL на 04-05-2021, 01:13


--------------------
void putchar(char c);int main(){int x,c=1,i;for(i=0;(x="PxLY2H4:2E;7231?=68255A5S5P9N:N9O84111H861I85111G9N:O811O812M<G33911EAEDBECE22169D1=2k"[i+++3]);)while(x-->'0')putchar((!(++c%'('))?0x0a:33^(i&1));}
PMEmail PosterUsers Website
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2019 | BG Development | All Rights Reserved
RSS 2.0