Re: 檔案變成vvv檔 ARay PTT批踢踢實業坊

Re: 檔案變成vvv檔

作者: ARay (ARay) 2015-12-23 19:20:26

※ 引述《smallha (Denise Tsai)》之銘言：
: 公司電腦內的檔案包含word excel檔全變成附檔名為vvv檔，桌面背景也變了
: 似乎是中了病毒
: 很擔心公司的資料不知道可否救回來
這兩天幫別人處理一樣的病毒 (TeslaCrypto)
判別現象如下：
1. 附檔名被加上了.vvv
2. 資料夾內多了類似 how_recovery_xxx.txt & html 檔
裡面大意就是你的檔案被使用RSA-4096加密了
付錢給我才給你金鑰解密還原
上網查了一些國外的討論
找到相關的解法，也完成了檔案的復原
(檔案還原回來都要感動到哭了)
這邊提供給需要的人參考：
https://github.com/Googulator/TeslaCrack
ps. 不確定是否適用每一種狀況，但目前看到有人成功，我也試過ok
建議不管什麼時候中毒，都不要絕望的把檔案刪除
記得備份下來等待，解法現在沒有但不久的未來可能會出現

作者: philipmorris (菲利普.莫里斯) 2014-01-02 00:59:00

1mkkm1大提供的解法我進行實測初步報告如下:我把中毒的檔案備份到另一顆硬碟拆卸中毒的硬碟後以備份的這顆硬碟開機然後執行那個網址所說的解法確實可以把檔案後面的.vvv解掉如除了中毒的123.jpg.vvv檔再多出一個123.jpg檔不過這兩個檔案依然沒辦法打開殘念~~我會再找時間已原本中毒那顆硬碟來測試再來回報狀況回報:使用原本中毒的那顆硬碟進行相同方法解密無法解得 AES 公鑰.解碼失敗~ 期望有更新的解法出現

作者: long0718 (孤獨) 2014-01-03 11:53:00

感謝依照lmkkml網址步驟，真的解開了~有些檔案沒解開，後來發覺是簡體檔名，大家記得檢查

作者: philipmorris (菲利普.莫里斯) 2014-01-03 21:35:00

我解失敗後出現畫面如下 http : //ppt.cc/geK4i

作者: long0718 (孤獨) 2014-01-04 00:08:00

再加一個，日文檔名也會沒解開，然後不同時間加密的金鑰也不同的樣子..記得多檢查，以免還沒解開就刪掉了

作者: onelife (æ—ºä¾†) 2014-01-04 19:57:00

算key算好久，剛剛終於跑完，試了幾個檔案真的可以解開!我的資料竟然有救了 T口T;;感謝各位大德分享資訊~~~另外要記得預設是用pdf算key，一開始沒注意用jpg白跑很久還有我用yafu不知道為什麼算到一半都會出錯改用Msieve才有跑完，但是Msieve只有單核，會算很久

作者: booboss (bobo) 2014-01-07 01:04:00

請問命令提示字元該如何叫出以及請問是手動輸入鑰使密碼抱歉用了很久解不開

作者: onelife (æ—ºä¾†) 2014-01-07 15:37:00

開始>附屬應用程式>命令提示字元點右鍵，選"以系統管理員"身分執行booboss你是按照http://goo.gl/gngMqZ 做的嗎?

作者: booboss (bobo) 2014-01-07 21:18:00

謝謝您的回覆我是照網址下去執行只是卡關在命令指示字元那不知如何輸入資料夾路徑指令哈

作者: philipmorris (菲利普.莫里斯) 2014-01-08 22:58:00

我總算解開來了, 謝謝.我是依照lmkkml大大分享的http://goo.gl/gngMqZyafu和msieve都不斷重複一直試一直試就突然解開了

作者: D93Y3 (凱子哥) 2014-01-12 18:15:00

請問大家用msieve都跑多久？我的5天了還沒停

作者: philipmorris (菲利普.莫里斯) 2014-01-12 22:37:00

很久~真的很久~我有跑2-3天跑久沒關係解開就好

作者: D93Y3 (凱子哥) 2014-01-13 14:18:00

了解～再讓他繼續希望能有結果，感謝囉

作者: lmkkml (小羊~~~) 2014-01-14 14:02:00

給還在努力解碼或解不出來已經放棄的人：可以到下面網址請好心外國人幫忙跑因式分解的這個步驟http://goo.gl/wSMcrg

作者: tsai82118 (PeteR) 2015-12-23 19:54:00

TeslaCrypto是第一代的，有解密程式可用。

作者: bestpika (飛影‧忌子) 2015-12-23 21:27:00

因為裡面有 3 組已知的 key 才能解的

作者: ARay (ARay) 2015-12-23 22:31:00

每個人要拿到的key都不同附上的網址其實最主要的重點就是利用自己已經中毒被加密的檔案去得到可以解碼的key的步驟得到key的過程需要一些時間(需要跑一些運算程式)我自己的經歷是花了差不多6個小時才跑出來

作者: denru01 (阿儒) 2015-12-24 02:19:00

一開始的原因是作者偷懶, 現在已經不是這個情況了....

作者: macgyver980 2015-12-24 17:25:00

昨晚我也莫明的中標了,開安全模式ok但是正常模式就會慢慢的將檔案加上.VVV

作者: sogoso (^^) 2015-12-24 23:16:00

請問樓上m大，安全模式下，那些原本已中毒的檔案，能使用?如果可以，把檔案用隨身碟COPY到別台電腦使用，不知道是否可行!

作者: hinajian (☆小雛☆) 2015-12-24 23:57:00

檔案本身就是已經被加密了沒辦法難道你自己加上密碼的RAR檔在安全模式會自動解密嗎

作者: yehmd (牧葉德國隊加油) 2015-12-25 10:02:00

請問m大，你的安全模式是有連網路的嗎？

作者: oioio9887 2015-12-25 14:44:00

我也中了... 乖乖重灌，跟回憶SAY GOODBYE...

作者: philipmorris (菲利普.莫里斯) 2015-12-25 23:09:00

我中了~很難過~~多年來的照片全都不能看了~~現在只能先備份~等待有人能解開~~

作者: abram (科科) 2015-12-26 09:21:00

到底是上哪一個網站中的啊應該要檢舉出來

作者: macgyver980 2015-12-26 13:29:00

不行,檔案已被加密過,所以在安全模式下一樣點不開我安全模式有連網,好在我重要的文件都放在外接碟

作者: yehmd (牧葉德國隊加油) 2015-12-27 07:53:00

哦哦～所以安全模式下連網是ok的……筆記

作者: kax0205 (說好的數學史呢?) 2015-12-27 11:38:00

真好是舊版新版還是無解

作者: philipmorris (菲利普.莫里斯) 2015-12-27 21:59:00

持續追蹤網路上的消息,目前無解~期待能有解決的一天若是哪位大大得到了有解的資訊,請協助PO出來幫忙.謝

作者: ARay (ARay) 2015-12-28 02:14:00

不確定大家說的新版舊版如何分別？我查到的.vvv算是蠻新的http://goo.gl/4NUPhT 如果症狀如參考連結(或是我內文提的)先不管新舊，都可以透過文中提供的方式將檔案成功還原(破解)

作者: vmjulianking (DEVIL) 2015-12-28 19:27:00

請問這東西下載後怎麼執行

作者: yusy ( ) 2015-12-29 19:13:00

可以問一下rrk 是哪個變種體嗎？我google過沒有rrk還是改的三碼是隨機的?

作者: lmkkml (小羊~~~) 2015-12-29 21:55:00

解碼流程可以參考這裡 http://goo.gl/gngMqZ

繼續閱讀

[問題] 中了CRYpt0L0cker之後的後續處理st40182 [求救] 中了色情網站上的劇毒james412 [問題] 小紅傘重新安裝後無法更新LMY8684 [問題] avast安裝問題ifulita [情報] 疑似木馬的網站whitefox [問題] CryptoPreventkuntaker [問題] AVAST今天更新後跟COMODO相衝?ymx3xc [問題] 電腦昨天中一個病毒但不知道是什麼毒Dante6 [求救] 按滑鼠左鍵都會跑出小紅傘的網頁blank0415 [問題] 和Comodo搭配的防毒？solomn