# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  "Пиратский" шифровальщик: симбиоз с RSA

## thyrex

Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.

*Примеры тем:* 

http://virusinfo.info/showthread.php?t=143533
http://virusinfo.info/showthread.php?t=143500
http://virusinfo.info/showthread.php?t=143499
http://virusinfo.info/showthread.php?t=143459

*Механизм шифрования:* 

Шифруются файлы следующих типов:
*.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf*

Поиск на компьютере ведется в следующем порядке: *k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:*

Шифрование происходит *сразу в 10 потоков*.

К имени файла дописывается *[email protected]_IQxxx* или *[email protected]_IQxxx*, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


Шифрование происходит в *три этапа*:

1) шифр Виженера (в качестве ключа используется *новое расширение файла*, номер шифруемого байта в файле, *число 0*);

2) RSA-шифрование (пример ключа для одной из модификаций – 11679767735264220485651349838330229246392607105907  26252490992761328814145763793811984836161959640636  12596099704536983971902685484479475553989498651372  97561304950905533839304567282737928548519370100252  6757886746354558344125314610739229913);

3) шифр Виженера (в качестве ключа используется *новое расширение файла*, номер шифруемого байта в файле, *число 1*).

На этапах *1 и 3* при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
Заменяется:
а) *1024* байта, если размер файла не превышает 6114 байт;
б) *6114* байт, если размер файла больше, чем 6114 байт.

На этапе *2* при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.

*Вывод*: без оригинального дешифратора расшифровать *невозможно* (все сложности из-за этапа 2, поскольку *ключи шифрования и дешифровки разные*).

*Как предотвратить шифрование:*
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

2) пользоваться антивирусом и своевременно обновлять его базы.

*Как уменьшить риск потерять информацию:*
1) резервное копирование информации на отдельные CD/DVD-носители;

2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.

----------

*Никита Соловьев*,  *Ilya Shabanov*,  imagination,  Natalia_M,  *olejah*,  Val_Ery,  w32stator

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Natalia_M

> *Как уменьшить риск потерять информацию:*
> 
> 2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.


 такое ощущение что куска текста не хватает :Shocked:

----------


## thyrex

Все нормально  :Smiley:

----------


## Natalia_M

непонятно как создание темы может спасти "хотя бы часть файлов от шифрования"
я тоже пострадавшая  :Sad: , хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe в диспетчере задач

----------


## thyrex

> хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe


не все такие продвинутые, как Вы. Для них и написан этот пункт. Да и без удаления файла после перезагрузки процесс продолжится

- - - Добавлено - - -

Тело 312.exe сохранилось?

----------


## Natalia_M

Теперь понятно. т.е. после обращения на форум, последует совет что делать дальше. 
Спасибо за расшифровку пункта. 
Буду ждать может изобретут утилиту  и для расшифровки файлов :Unsure: 




> Тело 312.exe сохранилось?


к сожалению -нет. не думала что всё так серьезно.
Акронисом стерла всё. Зашифрованные файлы вообще обнаружила на след.день

----------


## thyrex

А расширение какое у файлов появилось?

----------


## Natalia_M

> А расширение какое у файлов появилось?


[email protected]_IQ79

----------


## GRomaN

Таже проблема! Есть смысл ждать дешифратор???

----------


## thyrex

А прочитать внимательно первое сообщение в части *вывод*?

----------


## imagination

Файл из автозагрузки 312.exe есть

----------


## Никита Соловьев

> Файл из автозагрузки 312.exe есть


Присылайте *сюда*. Файл нужно предварительно поместить в архив ZIP.

----------

imagination

----------


## imagination

> Присылайте *сюда*. Файл нужно предварительно поместить в архив ZIP.


Отправил, надеюсь корректно

----------


## Никита Соловьев

> Отправил, надеюсь корректно


Да, файлы получены.

----------


## pohmel83

товарищи, а не подскажите: сколько весит файл 312.exe/ Заранее спасибо

----------


## thyrex

Какая разница сколько весит сам шифровальщик. Даже его наличие ничем не поможет. Все написано в выводе (и даже выделено)

----------


## imagination

> *Вывод*: без оригинального дешифратора расшифровать *невозможно* (все сложности из-за этапа 2, поскольку *ключи шифрования и дешифровки разные*).


*[email protected]_xxx, *[email protected]_xxx, *[email protected]_xxx
Владельцам лицензий drweb возможно будет частичное восстановление doc и jpg.
http://forum.drweb.com/index.php?showtopic=314850

----------


## thyrex

*imagination*, к сожалению для большинства, к счастью для меньшинства, я думаю, 



> частичное восстановление doc и jpg


 - это практически ничего

----------


## thyrex

*[email protected]_AUxxx* - из этой же серии

*[email protected]_TAxxx* скорее всего тоже

----------

*olejah*

----------


## CrashX

отправил вложение из письма  Образец.rar.zip размер 488940 байт
 шифрует фаилы с расширением [email protected]_IQ109

прошу помощи ....
надо расшифровать

----------


## luckyatt

Поймали на работе [email protected]_IQ110, на компе особо файлов нет, так что не сильно обидно.
Подскажите как быть:
1. Комп в сети, как избежать заражения других машин?
2. Что лучше - прогнать комп антивирусами или переустановка с полным форматированием дисков?
3. Ну и без особой надежды на результат - может есть дешифратор какой?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Станислав Титов

Привет, подскажи пожалуйста как он к тебе попал ? как выглядит exe файл(название), есть ли какое нибудь сообщение, или текстовый файл(название) ?

----------


## luckyatt

электронка от судебного пристава
2 файла в архиве:
obrazec_jalobi.doc и обращаем ваше внимание на правильность заполнения жалобы.ехе

----------


## Станислав Титов

> электронка от судебного пристава
> 2 файла в архиве:
> obrazec_jalobi.doc и обращаем ваше внимание на правильность заполнения жалобы.ехе


а текстовик есть кокой нибудь ? в котором должно быть написана инструкция ?

----------


## luckyatt

какая инструкция? я не понял. 
Архив сотрудник с перепугу удалил, посмотреть не могу

----------


## Станислав Титов

> какая инструкция? я не понял. 
> Архив сотрудник с перепугу удалил, посмотреть не могу


Ну на сколько я понял, у других троянов, есть инструкция, типа " Ваш комп заражен и бла бла бла ..."

----------


## andreyshim

поймал [email protected]_IQxx нужен дешифратор, помогите если есть.

----------


## Станислав Титов

> поймал [email protected]_IQxx нужен дешифратор, помогите если есть.


Их 2 бывает, на конце что у тебя ? 
И скажи как поймал, что пришло ? какие доки открыли что бы началось заражение?

----------


## andreyshim

на конце 111, пришло письмо от приставов.

----------


## Станислав Титов

> на конце 111, пришло письмо от приставов.


оу, уже 111

----------


## thyrex

> отправил вложение из письма  Образец.rar.zip


Куда отправили?




> надо расшифровать


Почитайте *вывод* в первом сообщении

- - - Добавлено - - -




> оу, уже 111


встречались и поболее цифры

----------


## Станислав Титов

> встречались и поболее цифры


мне на вебе сказали что их 2 =)

----------


## thyrex

Сообщение №21 в этой теме посмотрите. Или №20

----------


## apelsinder

заплатил хакеры прислали дешифратор для [email protected]  пароль для архива 123

----------


## thyrex

*apelsinder*, спасибо

----------


## Вадим Михалёв

africa.jpg

----------


## anton2122

Обновление скрипта. Картинок нет, черный рабочий стол, инструкций тоже нет. Файлы приобрели расширение [email protected]_XQ125. Есть электронное письмо с исходником и архивом, куда выложить, посмотрите?

----------


## thyrex

> Есть электронное письмо с исходником и архивом, куда выложить, посмотрите?


Это не поможет в написании дешифратора

----------


## anton2122

> Это не поможет в написании дешифратора


А какие действия? Дело в том что и контакты для покупки дешифратора нигде не светились, а данные нужны :Huh:

----------


## thyrex

[email protected] - сюда пишите ему. Без оригинального дешифратора не обойтись

----------

*olejah*

----------


## fatalyst

Доброго времени суток! Такая же проблема посетила меня только картинка немного другая,подскажите с чего начинать,еще вопрос ,если жесткий диск к компьютеру который заражен такой гадостью подключался после инфицирования я так понимаю тоже подхватил вирус?

- - - Добавлено - - -




> заплатил хакеры прислали дешифратор для [email protected]  пароль для архива 123


интересно может и мне подойдет? еще я связался с пиратами,они мне в ответ прислали,мол стоимость расшифровки составит 2 бит коина,а это 232$

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thyrex

> интересно может и мне подойдет?


Если картинка и адрес для связи другие, то не подойдет.




> если жесткий диск к компьютеру который заражен такой гадостью подключался после инфицирования я так понимаю тоже подхватил вирус?


Если шифровальщик к тому времени работу свою не закончил, то файлы могли быть зашифррованы. Само тело шифровальщика перебраться на другой подключенный винчестер не могло

----------


## fatalyst

> Если картинка и адрес для связи другие, то не подойдет.
> 
> Если шифровальщик к тому времени работу свою не закончил, то файлы могли быть зашифррованы. Само тело шифровальщика перебраться на другой подключенный винчестер не могло


выходит придется отдавать деньги что бы получить дешифровщик, вариантов похоже нет :Sad:

----------


## xraystaff

Мне помогло вот это инструкция внутри
http://dfiles.ru/files/yk4ndxqxz

----------


## Sergey0622

В общем, я так понимаю, это все? Расшифровать никак и вариант один, отправлять деньги вымогателям? у меня [email protected]_842 приписывает к файлам. Или все-таки есть надежда, что хотя бы со временем получится это сделать?

----------


## -SEM-

Уважаемые модераторы. Чтобы не плодить новых тем и не засорять форум в разделе "Помогите" пишу здесь, т.к. в ЛС писать не могу. Имею ехе-файлы нового трояна-шифровальщика [email protected] (3шт) и есть файлы разного формата зашифрованные .oshit и их копии не зашифрованные. Хочу отправить Вам в помощь на расследование, прошу ответить тут или в ЛС.

----------


## thyrex

*-SEM-*, по предварительной информациии - новая модификация http://virusinfo.info/showthread.php?t=123745 (для шифрования используется та же библиотека, по крайней мере)

----------

