File danneggiati dopo rimozione malware polizia di stato

[onzis]

Ok, intanto grazie ho provato con un file .xls ma non è andato a buon fine.
Proverò con altri programmi speriamo bene.

[LoryOne]

Secondo me perdi del tempo.
Se la struttura del file non ricalca in memoria quella che ci si aspetterebbe dall'utility di recupero, è impossibile ricavare il file originario.
Potrei azzardare un'ipotesi: Gli ultimi caratteri potrebbero essere la chiave per il recupero del file originario (magari al contrario), però bisognerebbe conoscere l'agoritmo di criptaggio utilizzato. Un'indizio lo abbiamo: Non altera la dimensione del file.
Chiaramente, bisognerebbe effettuare operazioni di retroingegneria sul codice del virus, oppure riuscire ad identificarlo su qualche sito specializzato nella rimozione che ne parla...

[AMIGA]

Quota:

Inviato da LoryOne

Un'indizio lo abbiamo: Non altera la dimensione del file.
C..

Come indizio è relativo, quando si modifica il file in esadecimale, la grandezza non cambia, tutti sappiamo che cancellando un solo byte da un file questo non sarà riconosciuto, mentre con i programmi esadecimali anche se cambi o cancelli qualche stringa all'interno del file la grandezza non muta.
Il file JPG esaminato non aveva la parte iniziale comune a tutti i file JPG, dove i programmi riconoscono il formato (non vale per quelli di Windows, dove basta cambiare un'estensione per non vederlo).

Questo è l'Acronimo che deve trovarsi in un file JPG
JFIF

Animazione Gif
GIF89aB

Immagine BMP
BM6d

Eseguibile
MZP

File Zippato
PK

Filmato AVI,DiVX, XVid
RIFF

Etc...

[LoryOne]

Dipende AMIGA:
JFIF non si trova al primo byte di un file .JPG perchè tutto dipende dalla struttura dell'header (o del footer) di un file, oltre che dal contenuto. Un file è da intendere come la "trasposizione" di indirizzo del contenuto in memoria di cio che vuole essere archiviato da un supporto di memorizzazione ad un altro e questa trasposizione avviene sia in lettura sia in scrittura. Se definisci una struttura in memoria come elementi sequenziali di differente tipologia, ci si aspetta identica struttura sul supporto di memorizzazione finale. I caratteri presenti all'interno del file ricalcano la tipologia di ogni elemento che costituisce la struttura più il contenuto che è stato anch'esso definito in tipologia e dimensione. Si potrebbe aprire tranquillamente un file JPG dove al posto di JFIF c'è scritto qualcos altro, purchè non si superi la dimensione di 4 bytes (4 caratteri) ma solo in quella posizione precisa, perchè prima e dopo esistono altre informazioni che fanno parte della struttura dell'header nella sua interezza, indipendentemente da altre informazioni che accendono o spengono i pixels ognuno con le proprie caratteristiche nella memoria grafica.
Se si cambiano i caratteri che dovrebbero ricalcare la struttura in tiplogia e dimensione con caratteri differenti, salta la struttura e se questa non è coerente con quella che caratterizza il tipo file che si vuole gestire, si possono verificare errori di scrittura in locazioni non pertinenti con conseguenze piuttosto pericolose. Nella migliore delle ipotesi, se il software di recupero non esplode, ricreeresti un file che non ha nulla a che vedere con quello originale.
E' tassativo riconoscere l'algoritmo di cifratura, in modo da decifrare ogni byte alla sua posizione con valore corretto.

[LoryOne]

Quota:

Inviato da AMIGA

....non vale per quelli di Windows, dove basta cambiare un'estensione per non vederlo...

Non è poi così vero ed a volte è una caratteristica che aumenta la sicurezza.
Mi pare esista un'opzione tipo "Gestisci il file in base al contenuto e non all'estensione" o il contrario, però mi ricordo che esiste.

[AMIGA]

Quota:

Inviato da LoryOne

Mi pare esista un'opzione tipo "Gestisci il file in base al contenuto e non all'estensione" o il contrario, però mi ricordo che esiste.

Si può essere. ma normalmente sui sistemi Windows, se rinomini una JPG in .exe, nessun programma associato aprirà l'immagine, stessa cosa se eliminiamo l'estensione, anche se cambiamo l'estensione in un formato grafico diverso, molti programmi grafici non li caricano.La cosa cambia su altri sistemi in Amiga OS puoi trattarlo come vuoi il file, sarà visto sempre automaticamente come una JPG, per darti un'idea, allego un piccolo filmato esaustivo, che dimostra quanto dico.

[onzis]

Ancora nessuna soluzione

[anymore1982]

RAGAZZI NON SO A QUANTI DI VOI POSSA INTERESSARE E SE AVETE GIA RISOLTO.IO MI SONO ACCORTO DA IERI SERA DI AVER PRESO LO STESSO VIRUS E NAVIGANDO IN RETE HO TROVATO LA SOLUZIONE!!!!SI CHIAMA KASPERSKY RANNOHDECRYPTOR FA TUTTO IN AUTOMATICO,SCANSIONE E RICONVERSIONE DEI FILE!
SPERO DI ESSERE STATO DI AIUTO A QUALCUNO!

[VincenzoGTA]

Grazie della segnalazione

[stenoacc]

grazie comunque per la segnalazione!

[onzis]

Se vi puo ancora interessare ho mandato giorni fa una segnalazione a Kaspersky con un paio di file corrotti, spero che arrivi a chi di dovere e diano seguito a questo problema.
Altrimenti sono rovianato :-)

[caffeina]

Ciao a tutti..sono una nuova iscritta
ho preso anche io questo virus ed ho usato combofix...alla fine mi è uscito questo file (l'ho convertito in word perchè era troppo grande)
vorrei sapere se è finita qui o i file infetti sono ancora presenti...
grazie mille

[VincenzoGTA]

Il log non è completo, mancano almeno i primi tre quarti

Per postarlo interamente e correttamente usa lo spoiler come spiegato qui:
http://forum.wintricks.it/showthread.php?t=155224

[booty island]

Comunque solitamente basta una pulizia con Antimalwarebytes Antimalware aggiornato per risolvere.

[booty island]

Dimenticavo, il file mantienilo in TXT perchè convertito in DOC diventa ulteriormente più grande.