Ir ao conteúdo
  • Cadastre-se

Outro editar e eliminar codigo HEX jpeg codificado por ransomware


Visitante

Posts recomendados

Olá, fui vitima de um ransomware ao baixar um progtama de recuperação de videos corrompidos... efim... entrei de cabeça para tentar resolver os arquivos e consegui recuperar a maioria dos meus videos usando o disktuna video repair... mas as fotos não encontrei alguma forma efetiva ainda, o proprio desenvolvedor do disktuna tem um programa que corrige arquivos, mas não funciona de forma eficiente... sei que esse ransomware para conseguir codificar o maximo de arquivos possiveis até ser parado, codifica cerca de 50kb apenas de cada arquivo, por esta razão os videos puderam ser recuperados, o funcionamento da ferramenta consiste em cortar os primeiros 2 a 3 segundos do video e insere um novo cabeçalho usando um video base feito com a mesma camera. Enfim... descobri tambem que já nas imagens jpeg daria pra tirar a parte codificada e inserir um novo cabeçalho de uma imagem gabarito da mesma camera, mas não consegui fazer... seraá que alguém aqui conseguiria realizar esse desafio? Creio que quem conseguir possa se dar bem desenvolvendo um software e ganhar um destaque mundial... creio que não seja algo estão difícil para quem já mexe com isso de codigo hex... binarios etc. Eu posso fornecer o arquivo codificado e o arquivo saudavel para gabarito e testes. Tenho cerca de 5000 fotos para tentar recuperar e se alguém puder me ajudar nisso... ficarei grato e posso ajudar no desenvolvimento pois sou avido quando pego algo pra aprender ou mexer... 

Complementando o que ja foi dito...  estou na saga a uns 5  meses... e estou usando um programa chamado HxD pra tentar desvendar o codigo HEX das fotos  jpeg. Seguindo dicas de alguns sotes eu localizei algumas partes chave dos arquivos e sim... podem ser recuperados e perderia apenas os kb de onde esta a codificação do ransomware... em alguns testes isso resultou apenas na perda de uma linha de pixels na parte de cima das fotos... mas nos meus melhores testes a imagem perdeu a cor e ficou rosa e perdeu a orientação, ficando deslocada para o lado e a parte que passou da lateral surge do outro lado... mas isso daria pra corrigir recortando e montando corretamente... mas pra recuperar a cor não sei como fazer ainda... e isso que eu não sou especialista no assunto... alguém mais esperto  que eu penso que tiraria de letra essa tarefa... mas estou falando isso para que saibam que realmente foi possivel recupera-la... e abrir o arquivo antes codificado. Mas não sei mais o que fazer.... geralmente pessoas vitimas de ransomware acabam por dar os arquivos como perdidos... mas há luz no fim do tunel. alguém quer tentar desenvolver isso? Acho que não existe forma efetiva porque não tem pessoas certas tentando  resolver... resumindo em poucos grupos ao redor do mundo... as pessoas ficam em cima de tentar decodificar o ransomware ao invés de tentar  contorna-lo. Esse seria o tendão de aquiles dos ransomware... não  lutar contra o codigo e sim exclui-lo e remontar o cabeçalho dos arquivos. 

Sou novo aqui no forum, mas se alguém quiser tentar me ajudar entre em contato comigo aqui pelo topico e vamos conversando. 

Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Geralmente os ransonware fazem o sequestro, mas depois do pagamento é fornecida uma chave para descriptografia.

 

Quando o sistema não é sobrescrito é possível encontrar a chave e usar ferramentas para desfazer, não seria mais prático. porque pelo que entendo, usando essa ferramenta você tem que fazer o trabalho manual, não?

 

Link para o comentário
Compartilhar em outros sites

@dwatashi não é possivel reverter a codificação pois  existem dois tipos de codificação ransomware, uma offline e uma online, a offlime ocorre quando o PC é desconectado durante o ataque e para não perder o serviço o virus usa uma chave geral, ja quando o PC se mantem conectado duramte o ataque, é gerado uma chave unica pra cada PC atacado, e essa chave fica salva nos servidores dos atacantes, essa chave só pode ser obtida se pagar o resgate. 5000 reais. não consigo juntar isso nem em 1 ano trabalhando. Claro que seria mais efetivo ter a chave e reverter tudo. Mas não é o caso. Eu gostaria que alguém me ajudasse a fazer uma edição do codigo hex de apenas uma imagem de forma efetiva, pra fazer nos outros 4999 arquivos que tenho eu mesmo faria após ter aprendido com a ajuda de alguém. O negocio é pegar o arquivo codificado, descobrir onde começa a codificação e onde termina,  deletar essa parte e inserir um novo cabeçalho copiado de uma imagem gabarito da mesma camera. Mesmo os ransomware que tem chave offline, só podem ser revertidos se alguém que tb tem uma versão offline pagar pelo resgate e fornecer a chave para algum software de decodificação. E isso é bem raro de acontecer. Mas no meu caso é a versão on line,  uma chave unica. Então como não tenho 5000 reais pra pagar resgate terei que dar meus pulos e estou pedindo ajuda.

@dwatashi a versão do ransomware que pegue se chama stopdjavu e codifica os arquivos com algo entre 46 a 50 kb e deixa os arquivos com uma extensão "imagem.jpeg.wrui"

Não é algo de outro mundo retirar esse trecho atraves de um editor hex e inserir um novo cabeçalho. O problema é que não sou tão esperto nisso. E minhas tentativas não foram muito efetivas ate hoje... alguém me ajuda por favor!

Como o restante do codigo hex esta intacto, o negocio é copiar o codigo a partir do bloco hex de onde não há mais a codificação e e deixar separado... em seguida copiar o cabeçalho de uma arquivo saudavel até o ponto onde seria o inicio do codigo que copiou antes e inserir ali esse cabeçalho e gerar o novo arquivo. É que eu sou meio mocorongo e não estou conseguindo... mas deve haver alguém esperto nisso que possa me ajudar. Existem 200.000.000 de brasileiros.. 1 desses talvez consiga me ajudar.

Link para o comentário
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...