Показано с 1 по 9 из 9.

Шифровальщик с почтой zlovredvreditel@yahoo.com

  1. #1
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918

    Шифровальщик с почтой zlovredvreditel@yahoo.com

    Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.

    Примеры тем:

    http://forum.kaspersky.com/index.php?showtopic=269663
    http://virusinfo.info/showthread.php?t=142525
    http://virusinfo.info/showthread.php?t=142594
    http://virusinfo.info/showthread.php?t=142688

    Механизм шифрования:

    Шифруются файлы следующих типов:
    .jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf

    Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:

    К имени файла дописывается Crypted. В качестве заставки рабочего стола устанавливается картинка



    На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
    Внимание! Всё ваши файлы зашифрованы.
    Для возврата файлов отправьте свой ID
    на почту:
    zlovredvreditel@yahoo.com
    ID:A5A0B80900313EE55E067D7FD35100FA (уникальный набор для каждого компьютера)
    Ключ шифрования получается из трех составных частей:

    1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999

    2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт)

    3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.

    Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.

    Для наглядности приведу пример:

    Скрытый текст

    Случайное число: 16406043
    MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
    Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™

    Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
    Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9

    Третья компонента: 65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297

    Ключ шифрования: 6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937
    Скрыть

    Вывод
    : подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.

    information

    Информация



    DrWeb пробует помочь http://forum.drweb.com/index.php?showtopic=314843
    Хотя время подбора может исчисляться месяцами






    Как предотвратить шифрование:
    1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков

    2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика)

    3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
    Последний раз редактировалось thyrex; 09.08.2013 в 15:26.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  2. thyrex получил(а) 5 благодарностей за это сообщение от


  3. Реклама
     

  4. #2
    Junior Member Репутация
    Регистрация
    26.03.2013
    Сообщений
    38
    Вес репутации
    14
    Можно с помощью этого сайта расшифровать http://crypo.in.ua/tools/eng_morse-encode.php
    научите расшифровывать MD5 !

  5. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Gashishin
    Не вижу на этом сайте ничего, что помогло бы определить ключ шифрования
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #4
    Junior Member Репутация
    Регистрация
    26.03.2013
    Сообщений
    38
    Вес репутации
    14
    thyrex
    Почему, тогда для чего же он ? я с помощью его расшифровывал алгоритмы анти нуб
    Последний раз редактировалось Gashishin; 01.08.2013 в 22:45.

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Gashishin, Вы можете расшифровывать все, что угодно. А я останусь на своей точке зрения, потому что:

    1. MD5 на сайте находится в секции Hash Generator (Calculate Value), т.е. генерирует MD5 для строки
    2. Вы невнимательно читали описание
    Цитата Сообщение от thyrex Посмотреть сообщение
    Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt
    и на выходе получается совсем иное число, которое при обратном преобразовании не совпадает с первоначальным MD5
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #6
    Junior Member Репутация
    Регистрация
    27.07.2013
    Сообщений
    1
    Вес репутации
    13
    Извините, Чайника. Именно так у меня зашифрованно, только ID другой. Можно ли расшифровать файлы? Или на поклон к Зловреду?

  9. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Nikbas, про расшифровку читаем первое сообщение
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    А Dr.Web похоже справился с этим вирусом.

    Источник: http://news.drweb.com/show/?c=5&i=3824&lng=ru
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    mike 1, о том, что они пытаются это сделать, я написал еще 9 августа в первом посте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

Похожие темы

  1. Шифровальщик drunksantaru@yahoo.com
    От Фёдор12 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 19.11.2013, 23:15
  2. Вирус зашифровал файлы zlovredvreditel@yahoo.com
    От Toretoff в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 24.09.2013, 21:08
  3. Ответов: 7
    Последнее сообщение: 06.09.2013, 07:29
  4. Шифровальщик с почтой zlovredvreditel@yahoo.com
    От swwarrior в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 21.08.2013, 09:33
  5. Зловред zlovredvreditel@yahoo.com кодовое слово leps
    От Lexxmen1 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 07.08.2013, 12:40

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00360 seconds with 21 queries