PDA

Просмотр полной версии : "Пиратский" шифровальщик: симбиоз с RSA



thyrex
09.08.2013, 19:33
Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.

Примеры тем:

http://virusinfo.info/showthread.php?t=143533
http://virusinfo.info/showthread.php?t=143500
http://virusinfo.info/showthread.php?t=143499
http://virusinfo.info/showthread.php?t=143459

Механизм шифрования:

Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

Поиск на компьютере ведется в следующем порядке: k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:

Шифрование происходит сразу в 10 потоков.

К имени файла дописывается .ZERO@DBZMAIL.COM_IQxxx или .MAMBAEE@AOL.COM_IQxxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)
http://s2.ipicture.ru/uploads/20130809/NckM4G4y.jpg (http://s2.ipicture.ru/Gallery/Viewfull/29328787.html)

Шифрование происходит в три этапа:

1) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 0);

2) RSA-шифрование (пример ключа для одной из модификаций – 11679767735264220485651349838330229246392607105907 26252490992761328814145763793811984836161959640636 12596099704536983971902685484479475553989498651372 97561304950905533839304567282737928548519370100252 6757886746354558344125314610739229913);

3) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 1).

На этапах 1 и 3 при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
Заменяется:
а) 1024 байта, если размер файла не превышает 6114 байт;
б) 6114 байт, если размер файла больше, чем 6114 байт.

На этапе 2 при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.

Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

2) пользоваться антивирусом и своевременно обновлять его базы.

Как уменьшить риск потерять информацию:
1) резервное копирование информации на отдельные CD/DVD-носители;

2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.

Natalia_M
09.08.2013, 21:11
Как уменьшить риск потерять информацию:

2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
такое ощущение что куска текста не хватает:O

thyrex
09.08.2013, 21:27
Все нормально :)

Natalia_M
09.08.2013, 21:33
непонятно как создание темы может спасти "хотя бы часть файлов от шифрования"
я тоже пострадавшая :(, хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe в диспетчере задач

thyrex
09.08.2013, 21:48
хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exeне все такие продвинутые, как Вы. Для них и написан этот пункт. Да и без удаления файла после перезагрузки процесс продолжится

- - - Добавлено - - -

Тело 312.exe сохранилось?

Natalia_M
09.08.2013, 21:52
Теперь понятно. т.е. после обращения на форум, последует совет что делать дальше.
Спасибо за расшифровку пункта.
Буду ждать может изобретут утилиту и для расшифровки файлов:worried:


Тело 312.exe сохранилось?
к сожалению -нет. не думала что всё так серьезно.
Акронисом стерла всё. Зашифрованные файлы вообще обнаружила на след.день

thyrex
09.08.2013, 21:59
А расширение какое у файлов появилось?

Natalia_M
09.08.2013, 22:05
А расширение какое у файлов появилось?
zero@dbzmail.com_IQ79

GRomaN
11.08.2013, 17:38
Таже проблема! Есть смысл ждать дешифратор???

thyrex
11.08.2013, 23:05
А прочитать внимательно первое сообщение в части вывод?

imagination
12.08.2013, 15:21
Файл из автозагрузки 312.exe есть

Никита Соловьев
12.08.2013, 16:32
Файл из автозагрузки 312.exe есть
Присылайте сюда (http://virusinfo.info/upload_virus.php?tid=37678). Файл нужно предварительно поместить в архив ZIP.

imagination
13.08.2013, 13:37
Присылайте сюда (http://virusinfo.info/upload_virus.php?tid=37678). Файл нужно предварительно поместить в архив ZIP.

Отправил, надеюсь корректно

Никита Соловьев
13.08.2013, 14:58
Отправил, надеюсь корректно
Да, файлы получены.

pohmel83
14.08.2013, 21:58
товарищи, а не подскажите: сколько весит файл 312.exe/ Заранее спасибо

thyrex
15.08.2013, 11:59
Какая разница сколько весит сам шифровальщик. Даже его наличие ничем не поможет. Все написано в выводе (и даже выделено)

imagination
15.08.2013, 12:24
Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

*.zero@dbzmail.com_xxx, *.mambaee@aol.com_xxx, *.SOS@AUSI.com_xxx
Владельцам лицензий drweb возможно будет частичное восстановление doc и jpg.
http://forum.drweb.com/index.php?showtopic=314850

thyrex
15.08.2013, 14:43
imagination, к сожалению для большинства, к счастью для меньшинства, я думаю,

частичное восстановление doc и jpg - это практически ничего

thyrex
16.08.2013, 10:50
.SOS@AUSI.com_AUxxx - из этой же серии

.SOS@TASMANIAN.COM_TAxxx скорее всего тоже

CrashX
21.08.2013, 10:26
отправил вложение из письма Образец.rar.zip размер 488940 байт
шифрует фаилы с расширением .sos@ausi.com_IQ109

прошу помощи ....
надо расшифровать

luckyatt
21.08.2013, 12:02
Поймали на работе .sos@ausi.com_IQ110, на компе особо файлов нет, так что не сильно обидно.
Подскажите как быть:
1. Комп в сети, как избежать заражения других машин?
2. Что лучше - прогнать комп антивирусами или переустановка с полным форматированием дисков?
3. Ну и без особой надежды на результат - может есть дешифратор какой?

Станислав Титов
21.08.2013, 12:16
Привет, подскажи пожалуйста как он к тебе попал ? как выглядит exe файл(название), есть ли какое нибудь сообщение, или текстовый файл(название) ?

luckyatt
21.08.2013, 12:25
электронка от судебного пристава
2 файла в архиве:
obrazec_jalobi.doc и обращаем ваше внимание на правильность заполнения жалобы.ехе

Станислав Титов
21.08.2013, 12:29
электронка от судебного пристава
2 файла в архиве:
obrazec_jalobi.doc и обращаем ваше внимание на правильность заполнения жалобы.ехе
а текстовик есть кокой нибудь ? в котором должно быть написана инструкция ?

luckyatt
21.08.2013, 12:37
какая инструкция? я не понял.
Архив сотрудник с перепугу удалил, посмотреть не могу

Станислав Титов
21.08.2013, 12:41
какая инструкция? я не понял.
Архив сотрудник с перепугу удалил, посмотреть не могу

Ну на сколько я понял, у других троянов, есть инструкция, типа " Ваш комп заражен и бла бла бла ..."

andreyshim
21.08.2013, 12:55
поймал sos@ausi.com_IQxx нужен дешифратор, помогите если есть.

Станислав Титов
21.08.2013, 13:08
поймал sos@ausi.com_IQxx нужен дешифратор, помогите если есть.
Их 2 бывает, на конце что у тебя ?
И скажи как поймал, что пришло ? какие доки открыли что бы началось заражение?

andreyshim
21.08.2013, 13:14
на конце 111, пришло письмо от приставов.

Станислав Титов
21.08.2013, 13:15
на конце 111, пришло письмо от приставов.
оу, уже 111

thyrex
21.08.2013, 14:21
отправил вложение из письма Образец.rar.zipКуда отправили?


надо расшифроватьПочитайте вывод в первом сообщении

- - - Добавлено - - -


оу, уже 111встречались и поболее цифры

Станислав Титов
21.08.2013, 14:30
встречались и поболее цифры

мне на вебе сказали что их 2 =)

thyrex
21.08.2013, 15:08
Сообщение №21 в этой теме посмотрите. Или №20

apelsinder
30.08.2013, 21:33
заплатил хакеры прислали дешифратор для MAMBAEE@AOL.COM пароль для архива 123

thyrex
31.08.2013, 01:06
apelsinder, спасибо

Вадим Михалёв
02.09.2013, 20:54
434161

anton2122
05.09.2013, 14:20
Обновление скрипта. Картинок нет, черный рабочий стол, инструкций тоже нет. Файлы приобрели расширение .HELP@AUSI.COM_XQ125. Есть электронное письмо с исходником и архивом, куда выложить, посмотрите?

thyrex
05.09.2013, 19:16
Есть электронное письмо с исходником и архивом, куда выложить, посмотрите?Это не поможет в написании дешифратора

anton2122
05.09.2013, 23:33
Это не поможет в написании дешифратора

А какие действия? Дело в том что и контакты для покупки дешифратора нигде не светились, а данные нужны:?

thyrex
06.09.2013, 21:00
HELP@AUSI.COM - сюда пишите ему. Без оригинального дешифратора не обойтись

fatalyst
07.09.2013, 16:36
Доброго времени суток! Такая же проблема посетила меня только картинка немного другая,подскажите с чего начинать,еще вопрос ,если жесткий диск к компьютеру который заражен такой гадостью подключался после инфицирования я так понимаю тоже подхватил вирус?

- - - Добавлено - - -


заплатил хакеры прислали дешифратор для MAMBAEE@AOL.COM пароль для архива 123

интересно может и мне подойдет? еще я связался с пиратами,они мне в ответ прислали,мол стоимость расшифровки составит 2 бит коина,а это 232$

thyrex
07.09.2013, 19:00
интересно может и мне подойдет?Если картинка и адрес для связи другие, то не подойдет.


если жесткий диск к компьютеру который заражен такой гадостью подключался после инфицирования я так понимаю тоже подхватил вирус?Если шифровальщик к тому времени работу свою не закончил, то файлы могли быть зашифррованы. Само тело шифровальщика перебраться на другой подключенный винчестер не могло

fatalyst
07.09.2013, 19:18
Если картинка и адрес для связи другие, то не подойдет.

Если шифровальщик к тому времени работу свою не закончил, то файлы могли быть зашифррованы. Само тело шифровальщика перебраться на другой подключенный винчестер не могло
выходит придется отдавать деньги что бы получить дешифровщик, вариантов похоже нет:(

xraystaff
28.10.2013, 11:10
Мне помогло вот это инструкция внутри
http://dfiles.ru/files/yk4ndxqxz

Sergey0622
19.11.2013, 17:34
В общем, я так понимаю, это все? Расшифровать никак и вариант один, отправлять деньги вымогателям? у меня backspace@riseup.net_842 приписывает к файлам. Или все-таки есть надежда, что хотя бы со временем получится это сделать?

-SEM-
22.11.2013, 09:38
Уважаемые модераторы. Чтобы не плодить новых тем и не засорять форум в разделе "Помогите" пишу здесь, т.к. в ЛС писать не могу. Имею ехе-файлы нового трояна-шифровальщика ..@europa.com (3шт) и есть файлы разного формата зашифрованные .oshit и их копии не зашифрованные. Хочу отправить Вам в помощь на расследование, прошу ответить тут или в ЛС.

thyrex
23.11.2013, 14:06
-SEM-, по предварительной информациии - новая модификация http://virusinfo.info/showthread.php?t=123745 (для шифрования используется та же библиотека, по крайней мере)