"Пиратский" шифровальщик: симбиоз с RSA

[thyrex]

Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.

Примеры тем:

http://virusinfo.info/showthread.php?t=143533
http://virusinfo.info/showthread.php?t=143500
http://virusinfo.info/showthread.php?t=143499
http://virusinfo.info/showthread.php?t=143459

Механизм шифрования:

Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

Поиск на компьютере ведется в следующем порядке: k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:

Шифрование происходит сразу в 10 потоков.

К имени файла дописывается [email protected]_IQxxx или [email protected]_IQxxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


Шифрование происходит в три этапа:

1) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 0);

2) RSA-шифрование (пример ключа для одной из модификаций – 11679767735264220485651349838330229246392607105907 26252490992761328814145763793811984836161959640636 12596099704536983971902685484479475553989498651372 97561304950905533839304567282737928548519370100252 6757886746354558344125314610739229913);

3) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 1).

На этапах 1 и 3 при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
Заменяется:
а) 1024 байта, если размер файла не превышает 6114 байт;
б) 6114 байт, если размер файла больше, чем 6114 байт.

На этапе 2 при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.

Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

2) пользоваться антивирусом и своевременно обновлять его базы.

Как уменьшить риск потерять информацию:
1) резервное копирование информации на отдельные CD/DVD-носители;

2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.

[Natalia_M]

Как уменьшить риск потерять информацию:

2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.

такое ощущение что куска текста не хватает

[thyrex]

Все нормально

[Natalia_M]

непонятно как создание темы может спасти "хотя бы часть файлов от шифрования"
я тоже пострадавшая , хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe в диспетчере задач

[thyrex]

хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe

не все такие продвинутые, как Вы. Для них и написан этот пункт. Да и без удаления файла после перезагрузки процесс продолжится

- - - Добавлено - - -

Тело 312.exe сохранилось?

[Natalia_M]

Теперь понятно. т.е. после обращения на форум, последует совет что делать дальше.
Спасибо за расшифровку пункта.
Буду ждать может изобретут утилиту и для расшифровки файлов

Тело 312.exe сохранилось?

к сожалению -нет. не думала что всё так серьезно.
Акронисом стерла всё. Зашифрованные файлы вообще обнаружила на след.день

[thyrex]

А расширение какое у файлов появилось?

[Natalia_M]

А расширение какое у файлов появилось?

[email protected]_IQ79

[GRomaN]

Таже проблема! Есть смысл ждать дешифратор???

[thyrex]

А прочитать внимательно первое сообщение в части вывод?

[imagination]

Файл из автозагрузки 312.exe есть

[Никита Соловьев]

Файл из автозагрузки 312.exe есть

Присылайте сюда. Файл нужно предварительно поместить в архив ZIP.

[imagination]

Присылайте сюда. Файл нужно предварительно поместить в архив ZIP.

Отправил, надеюсь корректно

[Никита Соловьев]

Отправил, надеюсь корректно

Да, файлы получены.

[pohmel83]

товарищи, а не подскажите: сколько весит файл 312.exe/ Заранее спасибо

[thyrex]

Какая разница сколько весит сам шифровальщик. Даже его наличие ничем не поможет. Все написано в выводе (и даже выделено)

[imagination]

Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

*[email protected]_xxx, *[email protected]_xxx, *[email protected]_xxx
Владельцам лицензий drweb возможно будет частичное восстановление doc и jpg.
http://forum.drweb.com/index.php?showtopic=314850

[thyrex]

imagination, к сожалению для большинства, к счастью для меньшинства, я думаю,

частичное восстановление doc и jpg

- это практически ничего

[thyrex]

[email protected]_AUxxx - из этой же серии

[email protected]_TAxxx скорее всего тоже

[CrashX]

отправил вложение из письма Образец.rar.zip размер 488940 байт
шифрует фаилы с расширением [email protected]_IQ109

прошу помощи ....
надо расшифровать