PDA

Просмотр полной версии : "Пиратский" шифровальщик



thyrex
02.08.2013, 15:47
Очередной шифровальщик от автора с ником Пират (соратник Корректора). В этот раз для шифрования используется шифр Виженера.

Примеры тем:

http://virusinfo.info/showthread.php?t=143127
http://virusinfo.info/showthread.php?t=143140
http://virusinfo.info/showthread.php?t=143046
http://virusinfo.info/showthread.php?t=143074

Механизм шифрования:

Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

Поиск на компьютере ведется в следующем порядке: m:, k:, e:,f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:, c:

Шифрование происходит сразу в 10 потоков.

Число шифруемых байт не превышает заранее выбранного числа-1. Если размер файла окажется меньше, чем выбранное число, шифруется на 1 байт меньше, чем размер файла

К имени файла дописывается [email protected]_xxx или [email protected]_xxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)
http://s2.ipicture.ru/uploads/20130802/1fG1sgug.jpg (http://s2.ipicture.ru/Gallery/Viewfull/29040088.html)

Ключ шифрования получается из трех составных частей:

1) серийный номер системного диска (в строковом представлении без дефиса).

2) случайная строка произвольной длины;

3) произвольно выбранное число (в строковом представлении);

Для наглядности приведу пример:Первая компонента: ABCD10EE

Втораякомпонента: 8;7TnGZ6,cjXo<sB.k{[email protected]!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vz xVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*[email protected](H1hM1Z%AeMSqOOo*^ LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF765

Третья компонента: 65536

Ключ шифрования:ABCD10EE8;7TnGZ6,cjXo<sB.k{[email protected]!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vz xVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*[email protected](H1hM1Z%AeMSqOOo*^ LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF76565536

При шифровании происходит последовательное побайтное чтение содержимого файла изамена прочитанного байта по определенному алгоритму с использованием ключа.

Как расшифровать: если Вы являетесь счастливым обладателем лицензии от DrWeb, обращайтесь http://forum.drweb.com/index.php?showtopic=314769.

Как предотвратить шифрование:
1)главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного родасудов, приставов, коллекторских агентств, банков

2) пользоваться антивирусом и своевременно обновлять его базы.

Никита Соловьев
02.08.2013, 15:59
Как предотвратить шифрование:
И не менее важный пункт 3: делать резервное копирование ценных файлов.

thyrex
02.08.2013, 16:23
Никита Соловьев, ну так наши пользователи ведь хранят бэкапы на том же компьютере. А это приводит к предсказуемому печальному результату

Никита Соловьев
02.08.2013, 18:21
ну так наши пользователи ведь хранят бэкапы на том же компьютере. А это приводит к предсказуемому печальному результату
Ну так это уже просто копия, а не резервная копия. Есть облака, есть флешка, съёмный жесткий диск - всё изобрели для хранения информации.

thyrex
04.08.2013, 12:59
В теме http://virusinfo.info/showthread.php?t=143159 используется в качестве ключа только случайная строка

В модификациях S1 и S3 уменьшения на 1 размера шифруемого блока не происходит, ключ генерируется только на основе случайной строки

ГлебРазДва
19.08.2013, 15:14
А расшифровать файлы возможно? (Был атакован подобным пиратом, только ник Tasmanian, шифрует аналогично описанию выше.)

thyrex
19.08.2013, 15:24
шифрует аналогично описанию вышеУверены? Тело для препарации есть?
Скорее у Вас http://virusinfo.info/showthread.php?t=143554

ГлебРазДва
19.08.2013, 15:34
Уверены? Тело для препарации есть?
Скорее у Вас http://virusinfo.info/showthread.php?t=143554

Ага. Спасибо. Как я понимаю без лицензии Др.Веб расшифровка невозможна?

thyrex
19.08.2013, 16:15
Полноценная дешифровка невозможна даже с лицензией DrWeb :)

- - - Добавлено - - -


Тело для препарации есть?Может ответите? :)

ГлебРазДва
19.08.2013, 16:37
Полноценная дешифровка невозможна даже с лицензией DrWeb :)

- - - Добавлено - - -

Может ответите? :)

Если вы о файле, который находился в автозапуске то нет, он был удален антивирусом. Есть зашифрованный файл и его полноценная не зашифрованная копия. ( Извиняюсь за недопонимание)

thyrex
19.08.2013, 18:31
Нет, такая пара все-равно ничем не поможет

ГлебРазДва
19.08.2013, 19:37
Научился восстанавливать архивы. Делается это, в принципе, элементарно. Значит, есть ведь шанс, что остальные файлы можно восстановить??? (Крик души:girl_cray2: )