Показано с 1 по 9 из 9.

Шифровальщик с почтой [email protected]

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104

    Шифровальщик с почтой [email protected]

    Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.

    Примеры тем:

    http://forum.kaspersky.com/index.php?showtopic=269663
    http://virusinfo.info/showthread.php?t=142525
    http://virusinfo.info/showthread.php?t=142594
    http://virusinfo.info/showthread.php?t=142688

    Механизм шифрования:

    Шифруются файлы следующих типов:
    .jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf

    Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:

    К имени файла дописывается Crypted. В качестве заставки рабочего стола устанавливается картинка



    На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
    Внимание! Всё ваши файлы зашифрованы.
    Для возврата файлов отправьте свой ID
    на почту:
    [email protected]
    ID:A5A0B80900313EE55E067D7FD35100FA (уникальный набор для каждого компьютера)
    Ключ шифрования получается из трех составных частей:

    1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999

    2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт)

    3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.

    Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.

    Для наглядности приведу пример:

    Скрытый текст

    Случайное число: 16406043
    MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
    Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™

    Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
    Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9

    Третья компонента: 65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297

    Ключ шифрования: 6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937
    Скрыть

    Вывод
    : подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.

    information

    Информация



    DrWeb пробует помочь http://forum.drweb.com/index.php?showtopic=314843
    Хотя время подбора может исчисляться месяцами






    Как предотвратить шифрование:
    1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков

    2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика)

    3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
    Последний раз редактировалось thyrex; 09.08.2013 в 15:26.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    26.03.2013
    Сообщений
    38
    Вес репутации
    41
    Можно с помощью этого сайта расшифровать http://crypo.in.ua/tools/eng_morse-encode.php
    научите расшифровывать MD5 !

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Gashishin
    Не вижу на этом сайте ничего, что помогло бы определить ключ шифрования
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    26.03.2013
    Сообщений
    38
    Вес репутации
    41
    thyrex
    Почему, тогда для чего же он ? я с помощью его расшифровывал алгоритмы анти нуб
    Последний раз редактировалось Gashishin; 01.08.2013 в 22:45.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Gashishin, Вы можете расшифровывать все, что угодно. А я останусь на своей точке зрения, потому что:

    1. MD5 на сайте находится в секции Hash Generator (Calculate Value), т.е. генерирует MD5 для строки
    2. Вы невнимательно читали описание
    Цитата Сообщение от thyrex Посмотреть сообщение
    Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt
    и на выходе получается совсем иное число, которое при обратном преобразовании не совпадает с первоначальным MD5
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    27.07.2013
    Сообщений
    1
    Вес репутации
    39
    Извините, Чайника. Именно так у меня зашифрованно, только ID другой. Можно ли расшифровать файлы? Или на поклон к Зловреду?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Nikbas, про расшифровку читаем первое сообщение
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    А Dr.Web похоже справился с этим вирусом.

    Источник: http://news.drweb.com/show/?c=5&i=3824&lng=ru
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    mike 1, о том, что они пытаются это сделать, я написал еще 9 августа в первом посте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Шифровальщик [email protected]
    От Фёдор12 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 19.11.2013, 23:15
  2. Вирус зашифровал файлы [email protected]
    От Toretoff в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 24.09.2013, 21:08
  3. Ответов: 7
    Последнее сообщение: 06.09.2013, 07:29
  4. Шифровальщик с почтой [email protected]
    От swwarrior в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 21.08.2013, 09:33
  5. Зловред [email protected] кодовое слово leps
    От Lexxmen1 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 07.08.2013, 12:40

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00669 seconds with 16 queries