И в чем его неработоспособность?
И в чем его неработоспособность?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
надо бы посмотреть, какой ключ у него в текст. доке и какой пришел
Судя по всему даже текстовый файл с сообщением записывается на зашифрованную машину вручную
- - - Добавлено - - -
http://virusinfo.info/showthread.php?t=141324 выложены даже две пары кодов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот вот, две пары кодов, как с этим можно работать? и какой толк можно из этого вывести?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А если получится так, что зло запускает шифровальщика, он делает свое дело, на выходе зло имеет откр и закрытый ключ. Столько компьютеров заражено, зло просто физически не сможет собрать все коды и сохранять себе в базу, и письма от зла приходят автоматически, не сравнивая код в текстовом доке! Ну хоть какую то пользу можно же выручить имея пару ключей???
вот еще возможно ценная информация! http://forum.kaspersky.com/index.php...c=260680&st=40
Последний раз редактировалось zlodei1988; 03.07.2013 в 10:10. Причина: нашел вроде ценность
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот еще пишут что - для нечетных блоков, т.е. для 1,3,5,7... блоков по 16Кб и т.д. как раз нужен ключ (который присылают) - в этом еще надо покопаться
- для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40
например:
- код символа "пробел" равен 0x20
- код символа "ноль" равен 0x30
так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно.
итого еще раз (дабы не сбиться с мысли):
т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как "считалось" ранее что нужен код из текстового файла Расшифровка.txt) - он скорее всего нужен для других целей
Ключь
JK8QfWeHVERWF4BwGxXRr7aiWikIQFMM
После запуска с этим ключем файлы остаются повреждены
взял в текстовом файлике ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT
к данной заразе эта информация не относится.
данные кодируются блоками по 8 байт, блок меньше восьми байт - не кодируется.
пример: (1 - оригинал, 2 - зашифрованный)
1 22 50 72 6f 66 69 6c 65 - 4c 69 73 74 22 2c 0a 7b
2 31 25 3a 30 9d 71 a0 32 - f3 63 b3 a8 2e 2a 3a 34
1 22 50 72 6f 66 69 6c 65 - 4c 69 73 74 22 2c 22 7b
2 31 25 3a 30 9d 71 a0 32 - 91 f3 78 66 f4 80 f9 c7
1 7d 22 7d 7d 7d
2 7d 22 7d 7d 7d
Ну так что с этим делать???куда еще можно обратиться, ведь очень много пострадавших компьютеров, где искаь ответы, я лучше денюжку за ум дам человеку который раскроет все, а не запакостит(
- - - Добавлено - - -
Вот еще инфа
тоже проверили - действительно с паролем из письма расшифровывается часть файла,
причем блоками - сначала шифрованый кусок - потом кусок расшифрован - потом снова шифрован и т.д... блоки длинной 0x4000h
сдается мне алгоритм такой
генериться пароль с которым шифруются файлы
у этого пароля делается известная ошибка в 1 знаке
этот пароль шифруется другим алгоритмом и записывается в письме
получив это пароль с косяком - расшифровывают его, устраняют внесенное изменение символа,
снова шифруют все темже алгоритмом и высылают нам...
алгоритм расшифровки пароля есть в декрипторе, пароль расшифровывается
файлы дешифруются...
собственно надо ковырнуть декриптор на предмет расшифровки самого пароля...
тогда универсальный декрипто не загорами
- - - Добавлено - - -
действительно с паролем из письма расшифровывается часть файла,
причем блоками - сначала шифрованый кусок - потом кусок расшифрован - потом снова шифрован и т.д... блоки длинной 0x4000h
сдается мне алгоритм такой
генериться пароль с которым шифруются файлы
у этого пароля делается известная ошибка в 1 знаке
этот пароль шифруется другим алгоритмом и записывается в письме
получив это пароль с косяком - расшифровывают его, устраняют внесенное изменение символа,
снова шифруют все темже алгоритмом и высылают нам...
алгоритм расшифровки пароля есть в декрипторе, пароль расшифровывается
файлы дешифруются...
собственно надо ковырнуть декриптор на предмет расшифровки самого пароля...
тогда универсальный декрипто не загорами
zlodei1988, прекратите писать ерунду на всех форумах подряд
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Хорошо! я просто нервничаю очень!)
- - - Добавлено - - -
Простите уж за назойливость, а с этим шифровальщиком типа ARRESTED занимается кто-нибудь, и можно ли надеяться на результат? Спасибо! Извините еще раз!
Господин thyrex, убедительная просьба отредактировать первое сообщение в ветке. НЕ НУЖНО платить вымогателям, так как ничего вам никто не вышлет. Мы попробовали, заплатили, только деньги потеряли. Складывается впечатление, что посты о том, что кто-то там заплатил и ему выслали код для дешифровки пишут сами авторы вируса. Как бы ни было тяжело, восстанавливайте все вручную, вариантов больше нет, ну и на будущее усилить безопасность.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь