公司局域网中招,很多文件特别是文档都被篡改,无法识别。
被篡改后文件名为 原文件名.id[000988C1-1107].[lockermen@tutanxta.cox].phobos
经过简单对比发现,文件被深度加密,加密方式未知,被篡改后会被删除238字节,并文档末尾会议LOC107结尾。
这里有一份中招的文件和原文件的备份,请大神帮忙给看看。
样本.txt
(170.55 KB)
病毒传染性不是很强,局域网内受影响的电脑很少,主要感染的都是弱口令的共享目录。
但是服务器上的文件全部被感染,无法识别。
我现在想请大神看看,能不能看出加密方式,能否恢复文件。
万分感谢
|
|
|
|
评论
直达楼层