Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Odszyfrowanie danych z dysku wd mycloud

o.pff.trabka 28 Sty 2018 22:19 765 15
  • #1 28 Sty 2018 22:19
    o.pff.trabka
    Poziom 5  

    Witam wszystkich , sprawa wygląda następująco :

    Kilka dni temu padłem atakiem hakerów którzy zaszyfrowali mi dysk sieciowy . Jednak ogarnęli , że moje dane nie są nic warte itp itd i dostałem od nich dane do odszyfrowania tj. :

    we're sorry for that we did .

    In order to express our apologies,
    we can give you the decryption information

    encryption algorithm : AES-256
    encryption mode : OFB
    encryption key : 21af599b143b44e1a8a7f657c6d8390e7a33ae30d9d2cf0318c2f8efb21f94e2
    encryption iv : 66fe051d4ee965561ddf3ed0442e1f25

    encrypt size : 4 * 1024 * 1024

    teraz ktoś wie jakim programem mogę to ogarnąć ?

    0 15
  • #3 29 Sty 2018 16:25
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Cały dysk, czy poszczególne pliki? Jak dysk to załącz pierwsze 3000 sektorów dysku, jak dane to załącz np. zaszyfrowany jpg. Zobaczymy, czy cokolwiek działa.

    0
  • #4 29 Sty 2018 21:39
    o.pff.trabka
    Poziom 5  

    mati211p napisał:
    Cały dysk, czy poszczególne pliki? Jak dysk to załącz pierwsze 3000 sektorów dysku, jak dane to załącz np. zaszyfrowany jpg. Zobaczymy, czy cokolwiek działa.


    Poprostu wszystkie dane , nie mogę dołączyć drugiego pliku bo rozszerzenie jest niedozwolone . Drugi plik )( nie wiem czy też jest potrzebny) ma tą samą nazwę tylko dodane na końcu "locked"

    0
  • #5 29 Sty 2018 21:57
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    To spakuj np. w archiwum ten plik. Czyli partycja jest sprawna?

    0
  • #6 29 Sty 2018 22:15
    o.pff.trabka
    Poziom 5  

    Postaram się to dzisiaj zrobić , jeżeli nie to jutro ogarnę , bo pod czytnikiem mam inny dysk podpięty i odzyskuje z niego dane .

    W tym wd miałem dwa dyski i obydwa zaszyfrowane, zrobiłem skan programem "dmde" cała struktura plików jest nie naruszona tylko trzeba je odszyfrować . Przez programy do odczytywania partycji linuxa nie może odczytać bo nie wie w jakim trybie jest partycja ( czy jakoś tak)

    dzisiaj jeszcze próbowałem o tych "hakerów" jakoś wycyganić skrypt , program do deszyforwania lub cokolwiek ale odpisali mi tylko

    "If you have a friend who is a programmer , you can ask him to program a decryption tool.
    and then you can decrypt all your files for free.

    or ,you want to use the decryption tool that we provide.
    you can decrypt all your files too.
    it's the easiest way , but you need pay 0.20 bitcoin.

    If you want use own decryption tool.
    and you can afford the specified amount of bitcoin,
    you can send to us up to 2 image files for demonstration.
    it's free !!!"

    Dorzuciłem folder ze spakowanymi obydwoma plikami , jedank testowalem na nim programy i nie wiem czy teraz coś na nich zadziała

    EDIT
    tutaj mam sam zablokowany plik nie ruszany

    Scaliłem. RADU23

    0
  • #7 30 Sty 2018 15:43
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Ciągi znaków w hex faktycznie wyglądają na zaszyfrowanie samych plików. Dla zdjęć powtarza się ciąg 52 78 C8 co po zdekodowaniu musi dać wartość FF D8 FF. Potrzebny jest algorytm dla bloku o odpowiedniej wielkości. Standardowym (nawet w przypadku dekryptorów AES 256 OFB) nic się nie odzyska, bo zakładają wielkość bloku 8 bitów (chyba, że jest inny powód). Przez to tylko pierwszy bajt jest dekodowany prawidłowo i jest odszyfrowany prawidłowo, bowiem po zdekodowaniu ma wartość FF.

    0
  • #8 30 Sty 2018 22:33
    o.pff.trabka
    Poziom 5  

    Tak jak napisałeś tak musi być hehe , na tym niestety się nie znam. Dorzucam kilka plików nie ruszanych. Dostęp do dysku mam już całkowity , wszystko widzę w formacie takim jak tutaj w tym folderze, tzn z końcówką "locked"

    0
  • Pomocny post
    #9 30 Sty 2018 23:20
    dt1
    Moderator - Komputery Serwis

    o.pff.trabka napisał:
    tutaj mam sam zablokowany plik nie ruszany

    Bez problemu można odszyfrować standardowym OpenSSL, podany klucz oraz IV są poprawne.

    Test.mp3 to wynik dekodowania 20090125__01_02_30.mp3.locked

    Code:
    openssl enc -aes-256-ofb -K 21af599b143b44e1a8a7f657c6d8390e7a33ae30d9d2cf0318c2f8efb21f94e2 -iv 66fe051d4ee965561ddf3ed0442e1f25 -in 20090125__01_02_30.mp3.locked -out test.mp3

    2
  • #10 31 Sty 2018 00:46
    o.pff.trabka
    Poziom 5  

    dt1 napisał:
    o.pff.trabka napisał:
    tutaj mam sam zablokowany plik nie ruszany

    Bez problemu można odszyfrować standardowym OpenSSL, podany klucz oraz IV są poprawne.

    Test.mp3 to wynik dekodowania 20090125__01_02_30.mp3.locked

    Code:
    openssl enc -aes-256-ofb -K 21af599b143b44e1a8a7f657c6d8390e7a33ae30d9d2cf0318c2f8efb21f94e2 -iv 66fe051d4ee965561ddf3ed0442e1f25 -in 20090125__01_02_30.mp3.locked -out test.mp3


    Mistrzu :) Flaszka jak nic się należy

    0
  • #11 31 Sty 2018 02:10
    dt1
    Moderator - Komputery Serwis

    To żebyś nie musiał ręcznie rzeźbić 14k plików spróbuj dekodera z załącznika. Może nie jest najwygodniejszy i może ma błędy, bo testowałem go na kilku plikach, ale cóż, ktoś musi spróbować ;)

    Instrukcja obsługi.
    Rozpakuj sobie do dowolnego folderu dekoder. Najlepiej na dysku, gdzie masz sporo miejsca. Jest w nim folder Input (aktualnie pusty). Wrzuć do niego foldery z zaszyfrowanymi plikami. Albo same pojedyncze pliki, cokolwiek uznasz za słuszne. Wtedy uruchamiasz pierwszy skrypt (1_run). Skrypt przespaceruje się po wszystkich plikach, które znajdzie w tym folderze i spróbuje je zdekodować. Nazwy ze spacjami go nie powinny powalić, chociaż nie sprawdziłem, czy nazwy z polskimi literami go nie pokonają. Ta operacja może potrwać sporo czasu (tzn. dekodując pięć plików na krzyż nie, ale jak wrzucisz kilka GB to owszem). Pliki zdekodowane pojawią się w tych samych katalogach, w których są zakodowane pliki. Po zweryfikowaniu, czy wszystkie pliki są odkodowane (każdy plik locked powinien mieć swojego sobowtóra już z normalnym rozszerzeniem) możesz uruchomić drugi skrypt (2_dellock). Ten skrypt przejdzie się znowu po całej zawartości input i skasuje wszystkie pliki z rozszerzeniem .locked.

    Dopisane: użyte narzędzia mają jednak problem z polskimi znakami w nazwach plików

    Kilka WAŻNYCH rzeczy:
    - uruchamiaj ten skrypt tylko na kopii danych. Jeśli tego nie zrobisz, a skrypt Ci zmasakruje jedyną kopię danych, to flaszki i tak nie oddam.
    - na dysku musisz mieć wolne co najmniej tyle miejsca, ile zajmują zaszyfrowane dane. Każdy dekodowany plik zajmuje tyle co plik locked, stąd po uruchomieniu pierwszego skryptu powinien on wyprodukować tyle danych, ile będą ważyły zaszyfrowane pliki - więc miejsce musi być.
    - drugi skrypt uruchom tylko wtedy, jeśli potwierdzisz, że całe dekodowanie się powiodło. Skrypt bez pytania skasuje wszystkie pliki locked w folderze input i jego podfolderach. W zasadzie po jego uruchomieniu powinieneś mieć w katalogu input odszyfrowane dane, a zaszyfrowane pliki powinny być sprzątnięte.
    - na początek wrzuć mniejszą próbkę danych i zobacz, jak to działa. Po wszystkim usuń wszystko z folderu input i wrzuć nową porcję do dekodowania. Nazwa input jest może trochę niefortunna, bo jest to też output, ale pierwotna koncepcja była trochę inna. :)

    Jako że programowanie skryptów w DOSie nie jest moją najmocniejszą stroną, jak ktoś będzie chciał jakoś ulepszyć czy poprawić skrypt - bardzo się ucieszę. U mnie działa, ale może zawierać błędy :)

    Zmiana: jako że skrypt wykorzystuje narzędzia linuxowe mogło brakować w nim bibliotek koniecznych do uruchomienia niektórych plików, załącznik został zmieniony, zawiera teraz również niezbędne biblioteki.

    2
  • #12 02 Lut 2018 03:14
    dt1
    Moderator - Komputery Serwis

    Dość długo to deszyfrowanie idzie. A może coś się popsuło? Jakieś wieści by się przydały.

    0
  • #13 02 Lut 2018 12:16
    o.pff.trabka
    Poziom 5  

    Witam , Witam .
    Dzisiaj na szybko wrzuciłem 1,5tys plików i się robią :P
    Urwanie tyłka mam w pracy przez ten tydzień i wracam późno .
    Na szczęście jutro wolne wiec dzisiaj w nocy ogarnę resztę :)

    0
  • #14 03 Lut 2018 02:04
    dt1
    Moderator - Komputery Serwis

    Ogarniaj, bo ciekawy jestem, czy Ci się uda. No i jeśli zrobiłem jakieś większe błędy w skrypcie to mogę próbować je naprawić :)

    Ale dobrze wiedzieć, że już masz komplet bibliotek - czyli te z paczki są wystarczające.

    0
  • #15 03 Lut 2018 19:02
    o.pff.trabka
    Poziom 5  

    Oficjalny wynik jest taki, że wszystko zostało odszyfrowane aż miło .
    Nie wiem jak mam dziękować :)

    Oczywiście flaszka się należy ;)

    0
  • Pomocny post
    #16 03 Lut 2018 21:33
    dt1
    Moderator - Komputery Serwis

    Fajnie, że się udało. Temat można chyba już uznać za rozwiązany i wyczerpany, więc zamykam,

    0