# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Расшифровка файлов .BMCODE: поиск решения

## delightman

Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.

так же инструкция в архиве для оффлайна: manual.zip

если кто-то что-то захочет дополнить - пишите.

Если кто-то может оформить данный скрипт в более удобную утилиту - добро пожаловать.

*СДЕЛАЙТЕ КОПИЮ ЗАШИФРОВАННЫХ ФАЙЛОВ. ОБЯЗАТЕЛЬНО. ПРИ МАЛЕЙШЕЙ ОШИБКЕ ВСЕ БУДЕТ ПОТЕРЯНО. ЭТО НИ РАЗУ НЕ ШУТКА. ВСЕ ДЕЙСТВИЯ НА ВАШ СТРАХ И РИСК – ПОСЛЕДСТВИЯ НИЖЕУКАЗАННЫХ ДЕЙСТВИЙ МОГУТ БЫТЬ НЕОБРАТИМЫ.*

Для запуска на зашифрованном компьютере должен быть установлен PowerShell. Если это Windows 7, обычно он там уже есть. Для Windows XP можно скачать здесь. Также должен быть разрешён запуск скриптов. Чтобы разрешить запуск скриптов – надо запустить «пуск – все программы – стандартные – windows powershell - Windows PowerShell ISE» и выполнить команду: set-executionpolicy bypass

Далее: копируете код который в конце и вставляете в пустой файл в блокноте. Сохраняете. Потом переименовываете - расширение должно быть "ps1". И открываете в powershell.
Или копируете прямо в powershell, кому как удобнее.

Если расшифровку производите на том же компьютере, на котором все зашифровалось – просто запускаете выполнение скрипта и ждете (если документов много – ждете долго). Хотя я бы посоветовал в любом случае сделать действия, как если расшифровка будет на другом компьютере.

Если расшифровку производите на другом компьютере (или виртуальной машине), куда скопировали зашифрованные данные – надо предварительно НА ТОМ КОМПЬЮТЕРЕ, ЧТО ПОСТРАДАЛ, сделать следующее:

Скопировать нижеуказанный код в powershell или открыть сделанный вами файл .ps1,
стать левой кнопкой мыши в начало строки 3, как указано на рисунке:

1.jpg

И нажать F9
Станет вот так: 

2.jpg 

Потом запустить скрипт, выполнение остановится как раз на строке 3, надо подвести курсор мыши на переменную $ek во второй строке, вылезет ее текущее значение, например:

3.jpg

И ОЧЕНЬ внимательно его записать.

Потом нажать SHIFT+F5 и после этого CTRL+SHIFT+F9.
Теперь идем на тот компьютер (виртуальную машину), где будем все расшифровывать, запускаем powershell, открываем наш код и первую строку, которая имеет вид



```
$ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;
```

делаем следующего вида:



```
$ek="ED2D9475-E11D-E341-A5FF-511AE59201E4";
```

ЭТО ПРИМЕР, ЦИФРЫ ДОЛЖНЫ БЫТЬ ДРУГИЕ!!!!!!!

И запускаете скрипт, ждете.

собственно, сам код:


```
$ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); # UID компьютера 
$basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); # импорт объекта с данными ключа
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); # шифрование UID компьютера RSA 

function Decrypt-File($item, $Passphrase){
    $salt="BMCODE hack your system";
    $init="BMCODE INIT";
    $r = new-Object System.Security.Cryptography.RijndaelManaged;
    $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
    $salt = [Text.Encoding]::UTF8.GetBytes($salt);
    $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
    $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
    $r.Padding="Zeros";
    $r.Mode="CBC";
    $c = $r.CreateDecryptor();
    $ms = new-Object IO.MemoryStream;
    $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
    $cs.Write($item, 0,$item.Length);
    $cs.Close();
    $ms.Close();
    $r.Clear();
    return $ms.ToArray();
}


$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
    gci $disk.root -Recurse -Include "*.BMCODE" | % {
        try {
            $file=[io.file]::Open($_, 'Open', 'ReadWrite');
            if ($file.Length -lt "40960"){$size=$file.Length}
            else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
            $ToEncrypt = $file.Read($buff, 0, $buff.Length);
            $file.Position='0';
            $Encrypted=Decrypt-File $buff $ek;
            $file.Write($Encrypted, 0, $Encrypted.Length);
            $file.Close();
            $newname=$_.name -replace '\.BMCODE','';
            rename-item -Path $_.FullName -NewName $newname -Force;
        }    
        catch{}
    }
}
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## olejah

Предлагаю всем желающим поучаствовать в обсуждении решений для расшифровки файлов .BMCODE.
Имхо, можно также попробовать te182decrypt от вебовцев.

----------


## scorax

Вчера получилось,  указанным способом расшифровать файлы,  автору спасибо. Единственное,  что UUID узнавал повершелом, так проще,  тут написал как: http://forum.kaspersky.com/index.php...&#entry1981036
Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили.  Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).

----------


## delightman

> Предлагаю всем желающим поучаствовать в обсуждении решений для расшифровки файлов .BMCODE.
> Имхо, можно также попробовать te182decrypt от вебовцев.


пробовал, мне не помогло: "зашифрованных файлов не обнаружено"

----------


## Hechicero

> пробовал, мне не помогло: "зашифрованных файлов не обнаружено"


аналогично.

В скриптах не очень разбираюсь, можно ли объяснить его действие, включая наши операции на пострадавшем компьютере?

----------


## Ilya Shabanov

В ближайшие дни ожидается утилита для расшифровки, есть такая информация.

У кого-то бизнес похоже рушится  :Cheesy:

----------


## Hechicero

> Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили.  Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).


В лаборатории Веба тоже подтверждают, что невозможно дешифровать зашифрованные rsa1024 без наличия трояна..
к сожалению, он самоликвидировался  :Sad:

----------


## telsek

СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!! У меня тоже получилось с помощиью скрипта раскодировать свои файлы.

Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.

Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
Пишите на [email protected]

 :Clapping:  :Clapping:  :Clapping:  :Clapping:  :Clapping:

----------


## Hechicero

> Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
> Пишите на [email protected]


спасибо!  :Smiley: 
я боюсь, что нужен именно тот, закодировавший конкретно мои файлы. Так как код шифрования, заключенный в нем, или же механизм (увы, я не знаю, как именно устроен вирус) может быть отличный от вашего..

----------


## thyrex

http://support.kaspersky.ru/download...tdecryptor.exe тоже уже должен расшифровывать

----------

Hechicero

----------


## telsek

мои .BMCODE он не расшифровал...

----------


## Юрий Паршин

Вы запускали утилиту на зараженной машине?
Есть ли среди пошифрованных файлов jpg, docx, xlsx, pptx, zip файлы? Если нет, то утилита не определит ключ автоматически - в таком случае (если Вы уверены, что машина точно та), надо запустить "XoristDecryptor.exe -becodec"

Если надо запустить расшифровку на другой машине (должен быть известен UUID машины, где произошло заражение), то утилиту следует запустить так: "XoristDecryptor.exe -becodep UUID"

----------

Hechicero,  *thyrex*

----------


## Grig13

> мои .BMCODE он не расшифровал...


попробуйте снова. запустил полчаса назад. лечит

----------


## telsek

Сейчас попробовал с написанным доп. ключом -becodep UUID плюс он при запуске обновился вроде - получилось. Да и все время лечил с зараженного компа. 

Ура - Люди у НАС есть Таблетка от ".BMCODE" от Касперского.
Спасибо!!!
 :094:  :094:  :094: 

Вирус, кстати, до сих пор не удалял. Как это сделать? Запустить Каспера в максимальном режиме проверки? Я пока так не делал, т.к. на сайте и они не рекомендуют удалять вирус, чтобы потом можно было найти таблетку. Раз нашли, теперь что мне делать???

----------


## thyrex

Можете удалить вручную

----------


## telsek

А вирусом является только сам файл *.hta ? (в моем случае Благодарственное письмо.hta)   :Smiley: 
Больше ничего? Или он потом заставил куда-то еще скачаться какие-то файлы из инета или просто что-то кроме документов еще испортил на компе?

----------


## Hechicero

Спасибо!
Утилита с ключом на зараженной машине заработала. файлы восстановлены.

----------


## delightman

.hta-файл не нужен абсолютно. Я расшифровывал свои данные на своем компьютере на переустановленной системе (не хотелось морочиться с отловом вредоноса; переустановилоперационку с нуля) и все получилось. Действовал строго по моей инструкции.

----------


## Uster

СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!!

Действовал согласно инструкции. Правда, на пострадавшем компьютере сначала было заблокирована запись на внешнюю флешку, так как хотел скопировать вредоносный файл. После прогона AVZ4, который успешно нашел и  снял некоторые блокировки, запись на флешку восстановилась. После этого скачал PowerShell 2.0 (с отладчиком) для работы на Windows XP с сайта Microsoft. В отладчике работать проще. На пострадавшем компьютере выполнил отдельно первые 2 команды (что бы не заморачиваться с остановами, так как опыта работы с PowerShell не было). Посмотрел и  записал код пострадавшего компьютера. Скопировал часть зашифрованных папок на "чистый" компьютер  и проверил скрипт расшифровки. ВСЕ ПОЛУЧИЛОСЬ. После этого запустил скрипт на пострадавшем (сильно)  компьютере и после, примерно, 2-х с половиной часов ВСЕ ПОЛНОСТЬЮ ВОССТАНОВИЛОСЬ (и файлы DOC,JPG,XLS и т.п и т.д. Правда файлы LNK (ярлыки) на рабочем столе не восстановились, но это уже мелочи).
 ЕЩЁ РАЗ ОГРОМНОЕ СПАСИБО ВСЕМ. Потому что платить "компьютерным террористам" не правильно. А совместными усилиями оказывается можно побеждать. Благодарен сайту VIRUSINFO за оперативную помощь и возможность общения. Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.

----------


## splxgf

Есть продолжение этого вируса, причем UID уже не используется, и в файл успело записаться good.

----------


## КЛМН

С ftcode данная процедура не помогла, либо я что-то не так сделал..

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Elusive

Аналогично, есть файл заражающий комп с ftcode. Вчера всю ночь ломал голову как он работает, вроде многое понял. Отзовитесь, кто справился с ftcode.

----------


## КЛМН

в качестве временной меры скопировал предыдущую заархивированную версию жесткого диска, благо что винда архивацию сделала автоматом, таким образом восстановил и заодно забекапил нужные файлы, которые были заархивированы системой 3 дня назад.
Лучше уж так, чем совсем ничего.
Если кто не понимает как это, то готов объяснить.

----------


## Vinogradus

Сделал такое с FTCODE, только в скрипте поменял BMCODE на FTCODE. Файлы пришли в нормальный вид, но не открываются. Пишет что испорчены....

----------


## Elusive

> Сделал такое с FTCODE, только в скрипте поменял BMCODE на FTCODE. Файлы пришли в нормальный вид, но не открываются. Пишет что испорчены....


Вы забили мусором свои файлы, надеюсь вы сделали копию старых, иначе шансов восстановить почти не будет.
в случае с BMCODE используется определённый $ek, а в FTCODE он меняется каждый раз.

----------


## Vinogradus

> Вы забили мусором свои файлы, надеюсь вы сделали копию старых, иначе шансов восстановить почти не будет.
> в случае с BMCODE используется определённый $ek, а в FTCODE он меняется каждый раз.


Они у меня были сделаны изначально, но не в полном объёме. Хотел победить, но не сложилось видимо...

----------


## Vladimirxxx

> Сделал такое с FTCODE, только в скрипте поменял BMCODE на FTCODE. Файлы пришли в нормальный вид, но не открываются. Пишет что испорчены....


Теперь жмакни пкм по файлу или папке и выбери восстановить прежнюю версию :Cheesy:

----------


## thyrex

Информация
Для FTCODE рецепта нет и вряд ли появится. В отличие от BMCODE он написан безошибочно. Увы

----------


## Vinogradus

> Теперь жмакни пкм по файлу или папке и выбери восстановить прежнюю версию


Как вариант  :Roll Eyes (Sarcastic):

----------


## Elusive

> Информация
> Для FTCODE рецепта нет и вряд ли появится. В отличие от BMCODE он написан безошибочно. Увы


т.е. только заплатив можно получить данные? Тогда кому ?)) не могу никак с ним связаться.

----------


## Uncle Fedor

> т.е. только заплатив можно получить данные? Тогда кому ?)) не могу никак с ним связаться.


Даже заплатив есть шанс получить вместо распаковщика программу которая подчистит все следы.
А за этим шутником, раскопавшим и подправившим старый хлам сейчас может начаться настоящая охота желающих оторвать ему яйца.

----------


## Vladimirxxx

Только что восстановил почти все данные из FTCODE, не восстановились около десяти документов word из-за слишком длинного названия(с чем связано не знаю, винда поставила перед фактом). В скрипте изменил BMCODE на FTCODE, и все файлы вернулись к обычному виду. Открываться они конечно же отказались, но "восстановление прежней версии" помогло!!!

----------


## Vinogradus

> Только что восстановил почти все данные из FTCODE, не восстановились около десяти документов word из-за слишком длинного названия(с чем связано не знаю, винда поставила перед фактом). В скрипте изменил BMCODE на FTCODE, и все файлы вернулись к обычному виду. Открываться они конечно же отказались, но "восстановление прежней версии" помогло!!!


 Всё-таки это не то. Файлы виндой бэкапятся только с диска С. На флэшке, которая торчала, всё погибло и на диске D тоже. А восстановить прежнюю версию можно и без скриптов, я так подозреваю. И если авто-бэкап не активирован, то тоже кирдык...

----------


## X3MALITY

Какие "предыдущие версии" на ХР ... Оно даже в Restore points залезло и похозяйничало  :Sad:

----------

