Бях засегнат от инфекция с ransomware, която криптира първите 512 байта в горната част на файла и ги поставя в дъното. При разглеждане на шифрования текст изглежда, че е някакъв тип XOR шифър. Знам целия обикновен текст на един от файловете, който беше шифрован, така че реших, че на теория би трябвало да мога да го xor, за да получа ключа за дешифриране на останалите ми файлове. Е, много ми е трудно с това, защото не разбирам как създателят наистина го е xor'ed. Мисля, че ще използва двоичен четец, за да прочете първите 512 байта в масив, да го XOR и да го замени. Но това означава ли, че той го е XOR в HEX? или десетичен? Доста съм объркан в този момент, но вярвам, че просто пропускам нещо.
Опитах Xor Tool с python и всичко, което се опитва да кракне, изглежда безсмислено. Опитах също скрипт на Python, наречен Unxor, на който давате известния обикновен текст, но дъмп файлът, който извежда, винаги е празен.
Думп на добър заглавен файл: Good-Header.bin a>
Дамп на шифрован заглавен файл: Enc-Header.bin
Това може да не е най-добрият пример за файл, за да видите модела XOR, но това е единственият файл, който имам, който също има оригиналния хедър 100% преди криптиране. В други заглавки, където има повече промени, шифрованата заглавка се променя с него.
Някакви съвети за метод, който трябва да опитам, или приложение, което трябва да използвам, за да опитам да продължа това? Благодаря ви много за помощта!
P.S. Stackoverflow ми се развика, когато се опитах да публикувам 4 връзки, защото съм толкова нов, така че ако предпочитате да видите шестнадесетичните дъмпове на pastebin, отколкото да изтеглите заглавните файлове, моля, не ми позволявайте. Файловете по никакъв начин не са злонамерени и са само извлечените 512 байта, а не цял файл.
