Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zaszyfrowane pliki JPG czy da się odzyskać?

MoherPower 30 Kwi 2015 22:28 9102 32
  • #1 30 Kwi 2015 22:28
    MoherPower
    Poziom 8  

    Witam

    postanowiłem dokładnie opisać problem bo może jak nam się uda rozwiązać to ktoś kolejny będzie miał z górki.

    Otóż..
    Mam poważny problem. Któryś z komputerów w domu został zarażony wirusem CryptoLocker. Wirus usunął się samodzielnie (przeskanowałem wszystkie kompy) ale pozostawił po sobie spustoszenie.

    Celem jego ataku są wszystkie pliki graficzne jakie mógł znaleźć. atakował tylko foldery sieciowe wiec nic na stacjonarnych nie zniszczył ale poszedł cały NAS ze zdjęciami. Zaszyfrował to chyba najsilniejszym algorytmem bo AES256, więc o jakimkolwiek rozszyfrowaniu można zapomnieć ..... ale..... zaskoczyła mnie ogromna prędkość z jaką zaszyfrował 30 min na 2,8TB? Zacząłem szukać i zauważyłem że wirus szyfrował jakieś początkowe 100kb każdego pliku a potem zostawiał bez zmian. Dlatego narazie mam nadzieję że uda się odzyskac zdjęcie przynajmniej jego 80% te początkowe 100kb niestety jest na straty. Proszę o pomoc kogoś kto się zna na sprawie jak można naprawić te zdjęcia. z tego co już sprawdziłem to niestety na początku znajdują się wszelkie informacje na temat rozmiaru ramki, sposobu kompresji i tak dalej. zdjęcia na szczęście były robione w takiej samej rozdzielczości i tym samym aparatem. Spróbuję zamieścić zdjęcia zaszyfrowane i prawidłowe bo co do niektórych miałem backup.

    0 29
  • #3 30 Kwi 2015 23:13
    MoherPower
    Poziom 8  

    strona decryptolocker wskazuje że nie jest to plik zaszyfrowany CryptoLockerem wiec pewnie pojawiła się już nowa wersja tego badziewia.

    Pozatym z tego co powiedzieli mi w firmie ESET ( dzięki której wirus przeszedł, a potem umyli od tego ręce... Pozdrawiam panów serdecznie) jest to AES256 a nie RSA 2048 więc pewnie nowsza wersja.

    0
  • #4 04 Maj 2015 15:03
    Kriomanta
    Poziom 12  

    Na ten czas nie ma opcji deszyfracji tego ustrojstwa :(

    0
  • #5 04 Maj 2015 16:35
    janpas6
    Poziom 18  

    Witam nie dostałeś jeszcze żadnego maila czasem ? z ceną za odblokowanie tych fotek itd
    Typowy atak coraz głośniej o tym jest

    1
  • #6 04 Maj 2015 21:53
    MoherPower
    Poziom 8  

    Nie chcę płacić, nawet jak bym miał namiar na gościa, bo jeżeli zapłacę to zmotywuje to tego złodzieja do produkcji kolejnej wersji wirusa. Mam nadzieję, że zapłaci jak najmniej osób.
    W poście pisałem, że nie chcę tego odszyfrować tylko pytałem czy są programy które potrafią naprawić uszkodzony jpg tracąc te dane, które są zaszyfrowane.

    1) Czy są programy które potrafiłyby odzyskać to co pozostało niezaszyfrowane w formie zdjęcia??
    2) Czy może ktoś podjąłby się odpłatnie napisać taki program?
    3) Czy ktoś zna namiary na firmę która zajmuje się takim odzyskiwaniem?

    Moderowany przez master-007:

    Zbędne komentarze usunąłem. Zwiększenie czcionki tylko zaciemnia post, podobnie jak pisanie wielkimi literami - edytowałem.
    3.1.17. Zabronione jest publikowanie wpisów obniżających ogólny poziom dyskusji, wynikających z lenistwa lub zawierających roszczeniowy charakter wypowiedzi.

    0
  • #7 05 Maj 2015 09:16
    Kriomanta
    Poziom 12  

    1) Być może - zależy od stopnia szyfracji i ustrojstwa jakie je zaszyfrowało
    2) Zapewne tak ale za dużą kasę i nie trwało by to dzień czy tydzień czy miesiąc (skoro firmy produkujące software Antyvirusowy mają z tym problem...)
    3) Zapewne nie ma które zajmują się "Takim" odzyskwianiem. Ale są firmy które zajmują się wyłącznie odzyskiwaniem danych i zapewne gdybyś przedstawił klarownie całą sytuację to uzyskał byś odp czy się tego podejmą czy też nie.

    Pozdrawiam

    -1
  • #8 05 Maj 2015 10:07
    Sam Sung
    Poziom 30  

    Kriomanta napisał:
    MoherPower napisał:
    1) Czy są programy które potrafiłyby odzyskać to co pozostało niezaszyfrowane w formie zdjęcia??

    1) Być może - zależy od stopnia szyfracji i ustrojstwa jakie je zaszyfrowało

    Oczywista sprzeczność odpowiedzi z pytaniem. Przecież to, co pozostało niezaszyfrowane, nie zależy od stopnia szyfracji ani żadnego "szyfrującego ustrojstwa". Jest nietknięte.
    Jeśli ktoś nie potrafi się uwolnić mentalnie od "deszyfracji", to niech przyjmnie, że ktoś po prostu napisał początek każdego pliku trzydziestoma tysiącami zerowych bajtów. Tego nikt nie "odszyfruje".

    Mamy więc pliki JPEG z uszkodzonym początkiem obejmującym ok. 1% pliku, 99% pliku jest nietknięte.
    http://en.wikipedia.org/wiki/JPEG
    W nagłówku są ważne informacje o przestrzeni barw i tablicy Huffmanna użytej do kodowania całości obrazka, natomiast sam obraz jest kompresowany w blokach 8x8 pikseli (tak jest poddawany dyskretnej transformacie kosinusowej). Zakładając, że dany aparat używa stałej transformacji przestrzeni barw i stałej tablicy Huffmanna, to te ważne dane można teoretycznie odtworzyć z innego zdjęcia, a z uszkodzonego pliku odzyskać ok. 99% obrazu. Problemem jest zmienna długość struktur w pliku JPEG/JFIF.
    Zrobiłem eksperyment na 2 zdjęciach zrobionych tym samym aparatem w diametralnie różnych warunkach oświetleniowych, połączyłem 30000 bajtów z jednego zdjęcia z resztą z drugiego zdjęcia i wynikowy plik udało się otworzyć i obejrzeć (był przesunięty w poziomie z uwagi na "ZigZag" opisany w w/w artykule).
    Oto banalny skrypt, który dokonał tego "odratowania":
    Code:

    #!/bin/sh

    BLOK=30000

    dd if=dobry.jpg of=wynik.jpg bs=$BLOK count=1
    dd if=zły.jpg of=wynik.jpg bs=$BLOK seek=1 skip=1

    Żeby właściwie przesunąć oś X zdjęcia, potrzebny byłby już program mający pojęcie o wewnętrznej strukturze plików JPEG/JFIF.

    2
  • #9 05 Maj 2015 10:36
    MoherPower
    Poziom 8  

    Wreszcie!!!

    Po za oczywistymi oczywistościami że niebo jest niebieskie a czasami czarne pierwsza konkretna odpowiedz.
    Dziękuję za merytoryczną odpowiedź Sam Sung:P

    Mam jednak pytanie. wygląda na to że jest to skrypt w shelu uniksowym. czy mam rację?

    2 zdjęcia były wykonane tym samym aparatem i w tej samej rozdzielczości. skoro mówisz że obraz jest kodowany w blokach 8x8 to może znając rozdzielczość takiego zdjęcia jesteśmy w stanie skorygować wszystkie przesunięcia odczytując je od tyłu? Dodając ewentualnie na początku określoną ilość 0x00 tak aby wynikowy plik miał zadaną rozdzielczość i był bez przesunięć?

    czy mogę podesłać 2 pliki abyś zastosował swój skrypt i zebym mógł zobaczyć efekt?
    prześlę 1 zdjęcie poprawne a drugie (inne) zaszyfrowane. Jestem skłonny zapłacić rozsądną kwotę pieniędzy jeżeli uda się dopracować metodę na tyle żeby odzyskać to co zostało bez przesunięć. napisz na priv jakiś kontakt do siebie to może porozmawiamy.

    0
  • #10 05 Maj 2015 11:24
    Kriomanta
    Poziom 12  

    "Żeby właściwie przesunąć oś X zdjęcia, potrzebny byłby już program mający pojęcie o wewnętrznej strukturze plików JPEG/JFIF."

    O ile dobrze pamiętam ze szkółki to obrazy JPEG są obrazami skompresowanymi (stratnie) i wszelakie naruszenia struktury danego pliku JPEG spowoduje jego uszkodzenie w stopniu:

    1. pozwalającym na otwarcie pliku jednakże obraz może być w pewien sposób zdeformowany/uszkodzony/niekompletny

    2. niepozwalające na otwarcie go w ogóle gdyż nie będzie rozpoznawany...

    Co do szyfracji plików i nieszyfracji tego co pozostało... Spotkałem się z przypadkiem w którym część plików graficznych została zaszyfrowana przez cryptolockera a część nie i miało do ścisły związek z datami utworzenia owych plików... Jednakże każdorazowe uruchomienie nośnika powododowalo dalszy proces szyfrowania kolejny i kolejnych i kolejnych plików (tylko graficznych...) Tych Cryptolockerów jest bardzo dużo i każdy ma jakieś zmienne w strukturze swojego kodu który również niekiedy jest dynamiczny.

    Z tego co wyczytałem z początkowego wątku - rzekomo wirusa już nie ma na nośniku...

    Czy jest w 100% pewne? Nie sądzę...

    Pozdrawiam i życzę sukcesu w kwestii rekonstrukcji skompresowanych zdjęć którenie zostały zaszyfrowane

    1
  • #11 05 Maj 2015 11:33
    Sam Sung
    Poziom 30  

    Skrypt jest w shellu uniksowym, w Windowsie powinno się dać go łatwo użyć po zainstalowaniu Cygwina ( http://cygwin.com/ )

    Proponuję załączyć do tematu jeszcze jakieś zdjęcie zniszczone.

    Kodowanie Huffmanna polega na wyemitowaniu kodów o zmiennej długości wraz z drzewem decyzyjnym pozwalającym płynnie czytać to od początku, ale nie od końca. Raczej trzebaby się zsynchronizować i doczytać plik do końca licząc, ile bloków jest dobrych (samo to nie jest banalne, bo trzeba odczytać drzewo decyzyjne z dobrego zdjęcia - normalnie nikt takich rzeczy nie programuje, wszyscy używają libjpeg czy też libjpeg-turbo), a potem wyznaczyć prawidłowy zygzak wg schematu w Wikipedii. Trzebaby nad tym trochę pomyśleć. A może jest jakieś prostsze rozwiązanie, na które akurat nie wpadłem...

    Może znajdzie się jakiś odważny młody geniusz z wolnym czasem :)

    Dodano po 6 [minuty]:

    Kriomanta napisał:
    O ile dobrze pamiętam ze szkółki to obrazy JPEG są obrazami skompresowanymi (stratnie) i wszelakie naruszenia struktury danego pliku JPEG spowoduje jego uszkodzenie w stopniu:

    1. pozwalającym na otwarcie pliku jednakże obraz może być w pewien sposób zdeformowany/uszkodzony/niekompletny

    2. niepozwalające na otwarcie go w ogóle gdyż nie będzie rozpoznawany...

    Dobrze pamiętasz, szkoda, że nie zastosowałeś tej ogólnej teorii do konkretnego problemu. Mamy tu podane konkretne przykłady uszkodzeń i już wiemy o nich o wiele więcej.
    A niekompletność obrazu polegająca na ścięciu górnego brzegu o 1% to nic strasznego.

    0
  • #12 05 Maj 2015 11:59
    MoherPower
    Poziom 8  

    Sam Sung napisał:

    Proponuję załączyć do tematu jeszcze jakieś zdjęcie zniszczone.



    na samym początku są 2 pliki z tym samym zdjęciem. 1 poprawne z backupu a drugie zaszyfrowane:P

    0
  • #13 05 Maj 2015 14:28
    Sam Sung
    Poziom 30  

    Właśnie w tym problem, że to są 2 pliki z tym samym zdjęciem. Odtworzenie uszkodzonego początku daje więc stuprocentowy sukces. Dlatego zaproponowałem dołączyć jeszcze jakieś zniszczone zdjęcie, żeby zobaczyć, co się stanie po połączeniu z początkiem innego dobrego. Oczywiście możesz to też sprawdzić sam wklejonym wyżej skryptem.

    0
  • #15 13 Sie 2015 18:15
    MoherPower
    Poziom 8  

    Podbijam temat bo cały czas problem jest nie rozwiązany. Czy ktoś może pomóc?

    0
  • #16 14 Sie 2015 00:04
    janpas6
    Poziom 18  

    witam
    Skąd ja cie znam nie wiem ale w sumie nie o to chodzi
    Jeżeli wszystkie zdjęcia są zrobione tym samym aparatem to jest szansa
    Lecz po nazwach widzę że inne aparaty.
    Jak byś miał dla porównania fotkę poprawną z aparatu Pxxxxxxx itd
    i zapodać do pobrania


    Zaszyfrowane pliki JPG czy da się odzyskać?

    A z apratu sony jeszcze kilka fotek zaszyfrowanych podesłać do testów
    To co zapodałeś jest już gotowe jak widać na załaczonym foto

    2
  • #17 14 Sie 2015 10:02
    MoherPower
    Poziom 8  

    Witaj.
    Czy to zdjęcie które załączyłeś udało się odzyskać z tych zaszyfrowanych?.

    Podeślę zdjęcia na których mi zależy dziś wieczorem. Niestety jest ich ponad 4tyś. albo i więcej więc będę wdzięczny jak podeślesz mi jakąkolwiek instrukcję lub jeżeli robisz to komercyjnie to cenę za odzyskanie.

    2
  • #18 14 Sie 2015 15:53
    janpas6
    Poziom 18  

    To jest zdjęcie DSC05190.
    Podeślij kilka do analizy.
    Jak byś miał z tego drugiego aparatu jedno dobre, drugie zawirusowane, to było by super.

    2
  • #19 17 Sie 2015 12:52
    krychast
    Poziom 20  

    I nikt się nie pochwali jak odzyskać zdjęcia?

    0
  • #21 17 Sie 2015 18:55
    Sam Sung
    Poziom 30  

    krychast napisał:
    I nikt się nie pochwali jak odzyskać zdjęcia?

    Jeśli nikt się nie pochwali, to wyżej pokazałem banalną metodę (skrypt z dwoma zawołaniami dd), która jednak skutecznie odzyskuje zdjęcie po podstawieniu DSC05190-virus.JPG za zły.jpg i DSC05141.JPG za dobry.jpg - przynajmniej na tyle, że da się je otworzyć na komputerze bez żadnych zgrzytów. Można to zapuścić na całym folderze i szybko zobaczyć, co wyjdzie. A nuż większość będzie działać?

    0
  • #25 21 Sie 2015 18:28
    twojeslodkiemarzenie
    Poziom 6  

    Czy da się coś zrobić?

    0
  • #27 31 Sty 2016 23:02
    wskazowka
    Poziom 10  

    Jakieś nowe wieści w sprawie uszkodzonych plików przez CTB-Locker? Jakaś szansa na odzyskanie jpg?

    0
  • #28 31 Sty 2016 23:13
    krychast
    Poziom 20  

    Chyba nic nowego.Pozostaje na razie metoda przedstawiona w tym poście bo chyba nic się nie zmieniło w temacie.

    0
  • #29 31 Sty 2016 23:59
    wskazowka
    Poziom 10  

    Nie znam się na tym, gdzie wkleić ten skrypt, przestawiony poniżej? Za pomocą czego to otworzyć. Mam zdjęcie zaszyfrowane i dobre i co dalej?


    #!/bin/sh

    BLOK=30000

    dd if=dobry.jpg of=wynik.jpg bs=$BLOK count=1
    dd if=zły.jpg of=wynik.jpg bs=$BLOK seek=1 skip=1

    0