# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Шифровальщик с почтой [email protected]

## thyrex

Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.

*Примеры тем:* 

http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688

*Механизм шифрования:* 

Шифруются файлы следующих типов:
*.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf*

Поиск на компьютере ведется в следующем порядке: *c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:* 

К имени файла дописывается *Crypted*. В качестве заставки рабочего стола устанавливается картинка 



На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания


> Внимание! Всё ваши файлы зашифрованы.
> Для возврата файлов отправьте свой ID
> на почту: 
> [email protected]
> ID:A5A0B80900313EE55E067D7FD35100FA (уникальный набор для каждого компьютера)


Ключ шифрования получается из *трех составных частей*:

1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999

2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт)

3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.

Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.

Для наглядности приведу пример:
Скрытый текст
Случайное число: 16406043
MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
*Первая компонента:* dwD9F3BD070620A5EE92AF904BAE50E55™

Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
*Вторая компонента:* 0AE57397F5F2A74E9C87C39B0FFADDD9

*Третья компонента:* 65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297

*Ключ шифрования:* 6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937Скрыть
*
Вывод*: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.




Информация


DrWeb пробует помочь http://forum.drweb.com/index.php?showtopic=314843
Хотя время подбора может исчисляться месяцами




*Как предотвратить шифрование:*
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков

2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со *стандартными* настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика)

3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.

----------

Кравцов Сергей,  *миднайт*,  *Ilya Shabanov*,  *olejah*,  Val_Ery

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Gashishin

Можно с помощью этого сайта расшифровать http://crypo.in.ua/tools/eng_morse-encode.php
научите расшифровывать MD5 !

----------


## thyrex

*Gashishin*
Не вижу на этом сайте ничего, что помогло бы определить *ключ шифрования*

----------


## Gashishin

thyrex
Почему, тогда для чего же он ? я с помощью его расшифровывал алгоритмы анти нуб  :Smiley:

----------


## thyrex

*Gashishin*, Вы можете расшифровывать все, что угодно. А я останусь на своей точке зрения, потому что:

1. MD5 на сайте находится в секции  Hash *Generator* (Calculate Value), т.е. генерирует MD5 для строки
2. Вы невнимательно читали описание



> Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt


и на выходе получается совсем иное число, которое при обратном преобразовании *не совпадает* с первоначальным MD5

----------


## Nikbas

Извините, Чайника. Именно так у меня зашифрованно, только ID другой. Можно ли расшифровать файлы? Или на поклон к Зловреду?

----------


## thyrex

*Nikbas*, про расшифровку читаем первое сообщение

----------


## mike 1

А Dr.Web похоже справился с этим вирусом.  :Smiley:  

*Источник:* http://news.drweb.com/show/?c=5&i=3824&lng=ru

----------


## thyrex

*mike 1*, о том, что они пытаются это сделать, я написал еще 9 августа в первом посте

----------

