Как найти тело вируса JUST

@tmpnik1 · Регистрация: 28.02.2011

Студворк — интернет-сервис помощи студентам

Вызвали с отпуска, кто-то открыл письмо с вирусом just, теперь у всех файлов на сетевом диске к расширению добавлено just(и в каждой папке появился файл message.txt), понятно, что шифровальщик уничтожил себя, но как вычислить машину, откуда было сделано шифрование, ведь должна остаться программа дешифратор, как её найти... После того как произошло шифрование файлов, передается это заражение по сетке дальше, на другие комп.? Может знает как найти дешифратор на вирус just?

@Sergio Leone · 24.09.2014, 16:29

Сообщение от tmpnik1

должна остаться программа дешифратор, как её найти...

вы ошибаетесь. Судя по всему, эта дрянь очередная из серии шифровальщиков данных для шантажа владельца файлов.
Для шифрации используется ключ, который генерируется специальным (например, случайным образом), после использования ключ, которые использовался для шифрации сам шифруется с помощью открытого ключа, но для расшифровки понадобится ЗАКРЫТЫЙ ключ, который, естественно, есть только у создателей подобной дряни.
Восстановить закрытый ключ по открытому - НЕВОЗМОЖНО. (Гуглите ассиметричное шифрование).
Поэтому, если я не ошибаюсь, и эта дрянь именно из данной серии, то искать в теле вируса дешифратор бессмыслено.
Вам нужно
одно из:
1) плюнуть на данные, восстановить данные из бэкапа и работать дальше
2) <вырезано цензурой>
3) обратиться в полицию
4) ждать появления в публичном доступе дешифратора для вашего вируса (долго, а может и не появиться)

Выбирать Вам!

Добавлено через 2 часа 35 минут

Не по теме:

Сообщение от shestale;

Причина: Часть ответа изменил. Не нужно потворствовать вирмейкерам

Мой совет в пункте 2 - это отнюдь не потворствование этим подонкам!!
Это шантажисты. Со всеми вытекающими отсюда последствиями!
А то, что Вы написанили про пбращение в полицию - это да, это по закону. Но это, скорее всего, не поможет восстановить данные.
А иногда это очень важно. Бывают данные, которые дороже денег.

А так я согласен с Вами.
Если этим негодяям потакать (выполняя их требования), так это будет стимулировать их на новые мерзкие "свершения"! :(

Но всё, умолкаю. Ибо это уже совсем другие вопросы, из рубрики "Кто виноват ?" и "Что делать ?"

@tmpnik1 · 24.09.2014, 17:49 **[ТС]**

спасибо, но если шифратор зашифровал файлы и уничтожил себя(т.е. разовая программа), значит этот комп в сети не опасен, и дальше это шифрование не полезет, т.е. удалить зашифрованные файлы и можно спокойно работать дальше, верно?
вопрос 2 открытый ключ это файл или строка в файле, не для расшифровки, понятно что не расшифруешь, просто посмотреть, где лежит этот открытый ключ...

@Sergio Leone · 25.09.2014, 10:38

Сообщение от tmpnik1

вопрос 2 открытый ключ это файл или строка в файле

Скорее всего это некий текст.

Сообщение от tmpnik1

и в каждой папке появился файл message.txt

Посмотрите в этот самый message.txt, скорее всего в нём и есть эта информация.

Сообщение от tmpnik1

спасибо, но если шифратор зашифровал файлы и уничтожил себя(т.е. разовая программа), значит этот комп в сети не опасен, и дальше это шифрование не полезет, т.е. удалить зашифрованные файлы и можно спокойно работать дальше, верно?

скорее всего именно так. НО! В ЦЕЛЯХ БЕЗОПАСНОСТИ я бы рекомендовал сделать логи по правилам форума и обратиться тут на форуме к специалистам с просьбой проверить, что не осталось никаких "сюрпризов" и "закладок".

@tmpnik1 · 25.09.2014, 11:41 **[ТС]**

Вот ещё некоторые вопросы появились...
До каких пор идёт шифрование файлов (до перезагрузки компа, пока не найдет файлов с нужным, расширением и т. д.)
Как он определяет на каких дисках шифровать, а на каких нет (диск С не зашифрован, диск D и сетевой диск O зашифрован)
Ели вместо диска стоит сетевой адрес (192.168.0.10), зашифруется инфа на этом сетевом ресурсе или нет...

@mike 1 · 30.09.2014, 20:59

До каких пор идёт шифрование файлов (до перезагрузки компа, пока не найдет файлов с нужным, расширением и т. д.)

До тех пор пока шифрование не закончится. Шифратор прописывается в автозагрузку и автоматически запускается при старте Windows. По окончанию шифрования шифратор самоуничтожается.

Как он определяет на каких дисках шифровать, а на каких нет (диск С не зашифрован, диск D и сетевой диск O зашифрован)

Это может быть прописано в самом шифраторе какие диски будут шифроваться, а какие нет.

Ели вместо диска стоит сетевой адрес (192.168.0.10), зашифруется инфа на этом сетевом ресурсе или нет.

Шифруется вся информация доступ к которому есть у пользователя где был запущен сам шифратор.

@tmpnik1 · 01.10.2014, 04:36 **[ТС]**

Спасибо, но что служит окончанием шифрования? т.е. он постоянно ищет объект шифрования, и если не находит, то это означает, что шифрование окончено, так или нет? И ещё, тут по видимому другой алгоритм, потому что доступ к диску С есть, но там файлы не тронуты, видать он срабатывает при открытии документа, определяет букву диска и шифрует там документы, потому что документы открывались на диске D:\ и O:\, хотя открытыми были и C:\, и H:\ и т.д.... Я понимаю, что у каждого вируса шифратора свой алгоритм, но в данном случае мне интересует JUST...

@mike 1 · 04.10.2014, 19:06

он постоянно ищет объект шифрования, и если не находит, то это означает, что шифрование окончено

Да. Когда он не находит объект шифрования он просто удаляется из системы.

И ещё, тут по видимому другой алгоритм, потому что доступ к диску С есть, но там файлы не тронуты

В самом шифраторе может быть прописано какие буквы жестких дисков нужно шифровать, а какие нет.

Пример одного другого шифратора

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@tmpnik1 76 / 32 / 11 Регистрация: 28.02.2011 Сообщений: 2,050

	Как найти тело вируса JUST 24.09.2014, 11:05. Показов 4249. Ответов 7 Метки нет (Все метки) Вызвали с отпуска, кто-то открыл письмо с вирусом just, теперь у всех файлов на сетевом диске к расширению добавлено just(и в каждой папке появился файл message.txt), понятно, что шифровальщик уничтожил себя, но как вычислить машину, откуда было сделано шифрование, ведь должна остаться программа дешифратор, как её найти... После того как произошло шифрование файлов, передается это заражение по сетке дальше, на другие комп.? Может знает как найти дешифратор на вирус just? 0

@tmpnik1 76 / 32 / 11 Регистрация: 28.02.2011 Сообщений: 2,050
	24.09.2014, 17:49 [ТС]
	спасибо, но если шифратор зашифровал файлы и уничтожил себя(т.е. разовая программа), значит этот комп в сети не опасен, и дальше это шифрование не полезет, т.е. удалить зашифрованные файлы и можно спокойно работать дальше, верно? вопрос 2 открытый ключ это файл или строка в файле, не для расшифровки, понятно что не расшифруешь, просто посмотреть, где лежит этот открытый ключ... 0

@tmpnik1 76 / 32 / 11 Регистрация: 28.02.2011 Сообщений: 2,050
	25.09.2014, 11:41 [ТС]
	Вот ещё некоторые вопросы появились... До каких пор идёт шифрование файлов (до перезагрузки компа, пока не найдет файлов с нужным, расширением и т. д.) Как он определяет на каких дисках шифровать, а на каких нет (диск С не зашифрован, диск D и сетевой диск O зашифрован) Ели вместо диска стоит сетевой адрес (192.168.0.10), зашифруется инфа на этом сетевом ресурсе или нет... 0

@tmpnik1 76 / 32 / 11 Регистрация: 28.02.2011 Сообщений: 2,050
	01.10.2014, 04:36 [ТС]
	Спасибо, но что служит окончанием шифрования? т.е. он постоянно ищет объект шифрования, и если не находит, то это означает, что шифрование окончено, так или нет? И ещё, тут по видимому другой алгоритм, потому что доступ к диску С есть, но там файлы не тронуты, видать он срабатывает при открытии документа, определяет букву диска и шифрует там документы, потому что документы открывались на диске D:\ и O:\, хотя открытыми были и C:\, и H:\ и т.д.... Я понимаю, что у каждого вируса шифратора свой алгоритм, но в данном случае мне интересует JUST... 0

Как найти тело вируса JUST

Решение