# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  "Пиратский" шифровальщик

## thyrex

Очередной шифровальщик от автора с ником Пират (соратник Корректора). В этот раз для шифрования используется шифр Виженера.

*Примеры тем:* 

http://virusinfo.info/showthread.php?t=143127
http://virusinfo.info/showthread.php?t=143140
http://virusinfo.info/showthread.php?t=143046
http://virusinfo.info/showthread.php?t=143074

*Механизм шифрования:* 

Шифруются файлы следующих типов:
*.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf*

Поиск на компьютере ведется в следующем порядке: *m:, k:, e:,f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:, c:*

Шифрование происходит *сразу в 10 потоков*.

Число шифруемых байт не превышает *заранее выбранного числа*-1. Если размер файла окажется меньше, чем выбранное число, шифруется на 1 байт меньше, чем размер файла

К имени файла дописывается *[email protected]_xxx* или *[email protected]_xxx*, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


Ключ шифрования получается из *трех составных частей*:

1) серийный номер системного диска (в строковом представлении без дефиса).

2) случайная строка произвольной длины;

3) произвольно выбранное число (в строковом представлении);

Для наглядности приведу пример:
Скрытый текст
*Первая компонента:* ABCD10EE

*Втораякомпонента:* 8;7TnGZ6,cjXo<sB.k{[email protected]!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*[email protected](H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF765

*Третья компонента:* 65536

*Ключ шифрования:*ABCD10EE8;7TnGZ6,cjXo<sB.k{[email protected]!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*[email protected](H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF76565536Скрыть


При шифровании происходит последовательное побайтное чтение содержимого файла изамена прочитанного байта по определенному алгоритму с использованием ключа.

*Как расшифровать*: если Вы являетесь счастливым обладателем лицензии от DrWeb, обращайтесь http://forum.drweb.com/index.php?showtopic=314769.

*Как предотвратить шифрование:*
1)главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного родасудов, приставов, коллекторских агентств, банков

2) пользоваться антивирусом и своевременно обновлять его базы.

----------

*Никита Соловьев*,  *olejah*,  Val_Ery

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Никита Соловьев

> Как предотвратить шифрование:


И не менее важный пункт 3: *делать резервное копирование ценных файлов.*

----------

Sinn

----------


## thyrex

*Никита Соловьев*, ну так наши пользователи ведь хранят бэкапы на том же компьютере. А это приводит к предсказуемому печальному результату

----------

Sinn

----------


## Никита Соловьев

> ну так наши пользователи ведь хранят бэкапы на том же компьютере. А это приводит к предсказуемому печальному результату


Ну так это уже просто копия, а не резервная копия. Есть облака, есть флешка, съёмный жесткий диск - всё изобрели для хранения информации.

----------


## thyrex

В теме http://virusinfo.info/showthread.php?t=143159 используется в качестве ключа *только случайная строка*

В модификациях *S1* и *S3* уменьшения на 1 размера шифруемого блока не происходит, ключ генерируется только на основе случайной строки

----------


## ГлебРазДва

А расшифровать файлы возможно? (Был атакован подобным пиратом, только ник Tasmanian, шифрует аналогично описанию выше.)

----------


## thyrex

> шифрует аналогично описанию выше


Уверены? Тело для препарации есть? 
Скорее у Вас http://virusinfo.info/showthread.php?t=143554

----------


## ГлебРазДва

> Уверены? Тело для препарации есть? 
> Скорее у Вас http://virusinfo.info/showthread.php?t=143554


Ага. Спасибо. Как я понимаю без лицензии Др.Веб расшифровка невозможна?

----------


## thyrex

Полноценная дешифровка невозможна даже с лицензией DrWeb  :Smiley: 

- - - Добавлено - - -




> Тело для препарации есть?


Может ответите?  :Smiley:

----------


## ГлебРазДва

> Полноценная дешифровка невозможна даже с лицензией DrWeb 
> 
> - - - Добавлено - - -
> 
> Может ответите?


Если вы о файле, который находился в автозапуске то нет, он был удален антивирусом. Есть зашифрованный файл и его полноценная не зашифрованная копия. ( Извиняюсь за недопонимание)

----------


## thyrex

Нет, такая пара все-равно ничем не поможет

----------


## ГлебРазДва

Научился восстанавливать архивы. Делается это, в принципе, элементарно. Значит, есть ведь шанс, что остальные файлы можно восстановить??? (Крик души )

----------

