-
Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.
Примеры тем:
http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf
Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:
К имени файла дописывается Crypted. В качестве заставки рабочего стола устанавливается картинка
На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
Внимание! Всё ваши файлы зашифрованы.
Для возврата файлов отправьте свой ID
на почту:
[email protected]
ID:A5A0B80900313EE55E067D7FD35100FA (
уникальный набор для каждого компьютера)
Ключ шифрования получается из трех составных частей:
1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999
2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт)
3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.
Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.
Для наглядности приведу пример:
Скрытый текст
Случайное число:
16406043
MD5-хэш:
D9F3BD070620A5EE92AF904BAE50E555
Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™
Информация об оборудовании:
0AE57397F5F2A74E9C87C39B0FFADDD7
Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9
Третья компонента: 65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297
Ключ шифрования: 6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937Скрыть
Вывод: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.
Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков
2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика)
3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
Последний раз редактировалось thyrex; 09.08.2013 в 15:26.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 41
Можно с помощью этого сайта расшифровать http://crypo.in.ua/tools/eng_morse-encode.php
научите расшифровывать MD5 !
-
Gashishin
Не вижу на этом сайте ничего, что помогло бы определить ключ шифрования
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 41
thyrex
Почему, тогда для чего же он ? я с помощью его расшифровывал алгоритмы анти нуб
Последний раз редактировалось Gashishin; 01.08.2013 в 22:45.
-
Gashishin, Вы можете расшифровывать все, что угодно. А я останусь на своей точке зрения, потому что:
1. MD5 на сайте находится в секции Hash Generator (Calculate Value), т.е. генерирует MD5 для строки
2. Вы невнимательно читали описание
Сообщение от
thyrex
Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt
и на выходе получается совсем иное число, которое при обратном преобразовании не совпадает с первоначальным MD5
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
Извините, Чайника. Именно так у меня зашифрованно, только ID другой. Можно ли расшифровать файлы? Или на поклон к Зловреду?
-
Nikbas, про расшифровку читаем первое сообщение
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
А Dr.Web похоже справился с этим вирусом.
Источник: http://news.drweb.com/show/?c=5&i=3824&lng=ru
-
-
mike 1, о том, что они пытаются это сделать, я написал еще 9 августа в первом посте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-