thyrex
30.07.2013, 17:57
Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.
Примеры тем:
http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf
Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:
К имени файла дописывается Crypted. В качестве заставки рабочего стола устанавливается картинка
http://s1.ipicture.ru/uploads/20130730/4UFOSx2h.jpg
На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
Внимание! Всё ваши файлы зашифрованы.
Для возврата файлов отправьте свой ID
на почту:
[email protected]
ID:A5A0B80900313EE55E067D7FD35100FA (уникальный набор для каждого компьютера)Ключ шифрования получается из трех составных частей:
1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999
2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт)
3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.
Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.
Для наглядности приведу пример:Случайное число: 16406043
MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™
Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9
Третья компонента: 65000750892817124170294607097139263591064215260289 73116054967619601737177086419005480998428502455564 00926703081545919603088402703174399987273268262463 33633297
Ключ шифрования: 64774439463342443037303632304135454539324146393034 42414535304535359930414535373339374635463241373445 39433837433339423046464144444439363530303037353038 39323831373132343137303239343630373039373133393236 33353931303634323135323630323839373331313630353439 36373631393630313733373137373038363431393030353438 30393938343238353032343535353634303039323637303330 38313534353931393630333038383430323730333137343339 393938373237333236383236323436333333363333323937
Вывод: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.
DrWeb пробует помочь http://forum.drweb.com/index.php?showtopic=314843
Хотя время подбора может исчисляться месяцами
Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков
2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика)
3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
Примеры тем:
http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf
Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:
К имени файла дописывается Crypted. В качестве заставки рабочего стола устанавливается картинка
http://s1.ipicture.ru/uploads/20130730/4UFOSx2h.jpg
На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
Внимание! Всё ваши файлы зашифрованы.
Для возврата файлов отправьте свой ID
на почту:
[email protected]
ID:A5A0B80900313EE55E067D7FD35100FA (уникальный набор для каждого компьютера)Ключ шифрования получается из трех составных частей:
1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999
2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт)
3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.
Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.
Для наглядности приведу пример:Случайное число: 16406043
MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™
Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9
Третья компонента: 65000750892817124170294607097139263591064215260289 73116054967619601737177086419005480998428502455564 00926703081545919603088402703174399987273268262463 33633297
Ключ шифрования: 64774439463342443037303632304135454539324146393034 42414535304535359930414535373339374635463241373445 39433837433339423046464144444439363530303037353038 39323831373132343137303239343630373039373133393236 33353931303634323135323630323839373331313630353439 36373631393630313733373137373038363431393030353438 30393938343238353032343535353634303039323637303330 38313534353931393630333038383430323730333137343339 393938373237333236383236323436333333363333323937
Вывод: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.
DrWeb пробует помочь http://forum.drweb.com/index.php?showtopic=314843
Хотя время подбора может исчисляться месяцами
Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков
2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика)
3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.