• Status: Solved
  • Priority: Medium
  • Security: Public
  • Views: 230
  • Last Modified:

corrupt files

Hi guys,

one of the users has a machine that now has lots of corrupt files, maybe they were a different format but it looks as if they try to convert them every time it opens and they dont eventually open?

Is there anything that can be done to retrieve the info?

Here is an example
let-to-EBS2.doc
0
jonathanduane2010
Asked:
jonathanduane2010
  • 11
  • 6
1 Solution
 
itguy565Commented:
That file has been encrypted. If I were a betting man then I would say that you are infected with Ransomware on that workstation. This looks alot like the format I saw when a client was infected with CryptoLocker.
0
 
itguy565Commented:
If that is the case then the files will be unrecoverable. Please scan that computer for virus and make sure it is disconnected from your network when you do it.
0
 
itguy565Commented:
If that is Cryptolocker it will not only effect that workstation but also any network share that workstation has access to.
0
Concerto's Cloud Advisory Services

Want to avoid the missteps to gaining all the benefits of the cloud? Learn more about the different assessment options from our Cloud Advisory team.

 
jonathanduane2010Author Commented:
its off the network.....

its a home user that never did backups..

the files are gone??
0
 
itguy565Commented:
I wouldn't say that yet. You need to determine what virus has infected that system.

Download the following:
Rkill
combofix
malwarebytes
emsisoft Emergancy malware kit Free

If you run these on the workstation one of them is likely to tell you what the virus is. If it is cryptoLocker then the files are gone. If it is another type of Ransomeware some of the decryption keys are out on the web so you might be able to find a problem to decrypt the files.

The trick is first identify the source of the infection then you can determine if the files are recoverable or not.
0
 
jonathanduane2010Author Commented:
there doesnt seem to be any viruses on it.....
0
 
itguy565Commented:
If that is the case then the files will most likely not be able to be recovered. can you post an instance of another file?
0
 
itguy565Commented:
In order to decrypt those files you need to know what program for virus encrypted it so that you can determine if the hash is available to decrypt them. If the program is not available or is not on that PC then the chances of encrypting those files are next to none.
0
 
jonathanduane2010Author Commented:
are they definitely encrypted???
0
 
jonathanduane2010Author Commented:
here is another file
Stationary2013.docx
0
 
itguy565Commented:
yes, a regular word document looks like this:
PK     ! 3qNw  !   [Content_Types].xml ¢(                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  ´TKKÃ@¾þ‡°WI¶õ "M{ðqÔ‚¼®›I»¸/v§¯ï¤iƒHÚ¨m/Í|¯fg0Z, DålÎúY%`¥+”æìmò”Þ²$¢°…ÐÎBÎÖÙhxy1˜¬=Ä„Ø6æl†èï8rFÄÌy°T)]0é¦Üù)¦À¯{½.E°˜b¥Á†ƒ(Å\cò¸¢ßu’ :²ä¾V^9Þk%R/lñÃ%Ý:dÄÜ`âLùxE Æ[ªÊ~ƒ-ï…ZTÉX|†P|éBÁ'熘Ùa™–œ®,•„†_©ùà$ÄH=7:k*F(»Ëß–CÎ#:ón4Wfœý£ã4¢•TÐôpo/"®5ÄÓw¢Öí¶D"œ#ÀV¹3Â>^Ï–â›xg’|'âCÃéc4ҝ!¶ Ôßãr#sÈ’›Ù§­þqíÝڨةÿÕÐ7Ž$}ôý ÚHõ®ê‰Þ{‹9ß,øá   ÿÿ PK     ! ™U~þ   á   _rels/.rels ¢(                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  ¬’MK1†ï‚ÿ!̽;Û*"ÒÝ^DèMdýC2û›’©¶ÿÞ(Š.Ôµ‡3yçÉ3CÖ›½Õ+Ç4xWÁ²(A±ÓÞ®«à¹yXÜ‚JBÎÐèWpà›úòbýÄ#InJý’Ê—*èEÂbÒ=[J…ìòMë£%ÉÇØa ýBãª,o0þf@=aª­© nͨæø¶oÛAó½×;ËNŽ<¼v†Í"ÄÜeÈÓ¨†bÇRñú1—REF7Znô÷´hYȐjyÞç#1'´<犦‰›7
š¯òœÍõ9mô.‰·ÿ¬ç3ó­„“Y¿  ÿÿ PK     ! ßµL¶
  ¿   word/_rels/document.xml.rels ¢(  

Open in new window


Notice the content type at the top.

[Content_Types].xml

all word documents are going to show that string.. This document does not have that so the original code has been altered.
0
 
itguy565Commented:
When you open that document in a text editor you get the following:

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿÷¿¿¿¿¿¿¿¿s¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿A¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¦¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿P¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿E¿¿¿¿¿¿¿¿¿¿¿s¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿-¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿û¿¿¿¿¿¿¿a¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿;¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿[¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿>¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿µ¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿Å¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿g¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿

Open in new window


This is definitely not the original code associated with this document.
0
 
itguy565Commented:
Lets try that again. Here is a screenshot as EE doesn't let me paste the code.

stationary 2013
0
 
itguy565Commented:
Other Experts Please Chime in.. We can use a second opinion but looking at these files I am 100% sure they have been encrypted.
0
 
jonathanduane2010Author Commented:
is there any way of paying the ransom so i can get the files decrypted????
0
 
itguy565Commented:
If you knew the program that encrypted the files that might be possible. Because when you ran the AV software you were unable to determine what that program was this would not be possible.

You need to know the name of the ransomeware that caused the problem in order to proceed any further with ANY actions.
0
 
jonathanduane2010Author Commented:
thanks guys, I will look at that now
0

Featured Post

New feature and membership benefit!

New feature! Upgrade and increase expert visibility of your issues with Priority Questions.

  • 11
  • 6
Tackle projects and never again get stuck behind a technical roadblock.
Join Now