dritydecrypt

se http://answers.microsoft.com/en-us/protect/forum/mse-protect_scanning/removal-of-dirtydefragexe-from-pc/c0657710-f1e3-4a74-9464-07fa3d883b59
gå ned til indlæg fra
Hetti Arachchige V Aravinda replied on  July 24, 2013

jeg har prøvet div spy og mal pgr intet ser ud til at virke på de filer der er inficeret

..Ligger selv og slås med den i professionel sammenhæng.

Det ser ud til at filerne som sådan ikke er krypteret, men blot har fået en ny header.

Om det så kan lade sig gøre at genetablere den oprindelige header, har jeg ikke fundet ud af endnu...

ole_madsen når du finder et svar plz giv det til mig

Svar

Dårligt nyt...

Nu har jeg ladet tid gå, og været nettet igennem for at se, om nogen har fundet en løsning.

Det ser ud til at der er flere niveauer af virusen, så er man rigtig heldig kan filerne dekrypteres med programmet decrypt_mblblock.exe - beskrevet her: http://www.malwareremovalguides.info/decrypt-files-with-decrypt_mblblock-exe-decrypt-protect/
Direkte link til programmet: http://tmp.emsisoft.com/fw/decrypt_mblblock.exe

Men de filer jeg ligger inde med, kan ikke dekrypteres på denne måde, så søgningen gik videre.

En fyr antyder at de ikke kan dekrypteres, da første del af filen er slettet. Jeg har undersøgt og fundet hans påstand plausibel, men kun på billedefiler (JPG filer). Disse lader til at have fået overskrevet en god bid af filen med det PNG billede, der viser DirtyDecrypt beskeden - så jeg regner ikke med at billedefiler kan genskabes. Men jeg kan ikke finde samme sammenhæng på andre filer (indlejringen foregår på en anden måde), så søgningen går videre.

Panda Antivirus har også fået fremstillet et værktøj til dekryptering: http://www.pandasecurity.com/usa/homeusers/support/card/?id=1675

Den kan desværre heller ikke hjælpe mig, men har dog funktionen til at sammenligne en krypteret og en identisk ikke krypteret fil, for muligvis at kunne udregne krypteringsnøglen. Desværre råder jeg ikke over ubeskadigede versioner af filerne, så den kan heller ikke hjælpe her. Desuden er der spørgsmålet om den oprindelige fil overhovedet kan sammenlignes med den krypterede, da den krypterede jo har fået tilføjet data om DirtyDecrypt filen.

DE ENESTE jeg har kunne læse, har fået deres filer igen, er folk der har haft Windows System Restore slået til, og som relativ kort tid efter problemet har forsøgt sig med programmet Shadow Explorer - beskrevet her: http://answers.microsoft.com/en-us/protect/forum/protect_other-protect_scanning/dirtydecrypt-file-recovery/694f9860-dd25-416e-a37e-5f526e978d3b

System Restore bruges desværre ikke her hvor jeg er, så det var heller ikke en mulighed for mig.

Og så er vi nået til enden... - da filerne jeg har, ikke har den store betydning for virksomheden, kan jeg ikke forsvare at bruge mere tid på noget, der ikke ser ud til at have en løsning. Jeg beholder filerne i håb om engang at snuble over løsningen - men vil ikke længere aktivt søge en løsning.

Håber du har fået dine filer igen på anden vis...