-
"Пиратский" шифровальщик
Очередной шифровальщик от автора с ником Пират (соратник Корректора). В этот раз для шифрования используется шифр Виженера.
Примеры тем:
http://virusinfo.info/showthread.php?t=143127
http://virusinfo.info/showthread.php?t=143140
http://virusinfo.info/showthread.php?t=143046
http://virusinfo.info/showthread.php?t=143074
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf
Поиск на компьютере ведется в следующем порядке: m:, k:, e:,f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:, c:
Шифрование происходит сразу в 10 потоков.
Число шифруемых байт не превышает заранее выбранного числа-1. Если размер файла окажется меньше, чем выбранное число, шифруется на 1 байт меньше, чем размер файла
К имени файла дописывается [email protected]_xxx или [email protected]_xxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)
Ключ шифрования получается из трех составных частей:
1) серийный номер системного диска (в строковом представлении без дефиса).
2) случайная строка произвольной длины;
3) произвольно выбранное число (в строковом представлении);
Для наглядности приведу пример:
Скрытый текст
Первая компонента: ABCD10EE
Втораякомпонента: 8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF765
Третья компонента: 65536
Ключ шифрования:ABCD10EE8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF76565536Скрыть
При шифровании происходит последовательное побайтное чтение содержимого файла изамена прочитанного байта по определенному алгоритму с использованием ключа.
Как расшифровать: если Вы являетесь счастливым обладателем лицензии от DrWeb, обращайтесь http://forum.drweb.com/index.php?showtopic=314769.
Как предотвратить шифрование:
1)главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного родасудов, приставов, коллекторских агентств, банков
2) пользоваться антивирусом и своевременно обновлять его базы.
Последний раз редактировалось thyrex; 02.08.2013 в 18:13.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
thyrex
Как предотвратить шифрование:
И не менее важный пункт 3: делать резервное копирование ценных файлов.
-
-
Никита Соловьев, ну так наши пользователи ведь хранят бэкапы на том же компьютере. А это приводит к предсказуемому печальному результату
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
ну так наши пользователи ведь хранят бэкапы на том же компьютере. А это приводит к предсказуемому печальному результату
Ну так это уже просто копия, а не резервная копия. Есть облака, есть флешка, съёмный жесткий диск - всё изобрели для хранения информации.
-
-
В теме http://virusinfo.info/showthread.php?t=143159 используется в качестве ключа только случайная строка
В модификациях S1 и S3 уменьшения на 1 размера шифруемого блока не происходит, ключ генерируется только на основе случайной строки
Последний раз редактировалось thyrex; 04.08.2013 в 18:47.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
А расшифровать файлы возможно? (Был атакован подобным пиратом, только ник Tasmanian, шифрует аналогично описанию выше.)
-
Сообщение от
ГлебРазДва
шифрует аналогично описанию выше
Уверены? Тело для препарации есть?
Скорее у Вас http://virusinfo.info/showthread.php?t=143554
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
Сообщение от
thyrex
Ага. Спасибо. Как я понимаю без лицензии Др.Веб расшифровка невозможна?
-
Полноценная дешифровка невозможна даже с лицензией DrWeb
- - - Добавлено - - -
Сообщение от
thyrex
Тело для препарации есть?
Может ответите?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
Сообщение от
thyrex
Полноценная дешифровка невозможна даже с лицензией DrWeb
- - - Добавлено - - -
Может ответите?
Если вы о файле, который находился в автозапуске то нет, он был удален антивирусом. Есть зашифрованный файл и его полноценная не зашифрованная копия. ( Извиняюсь за недопонимание)
-
Нет, такая пара все-равно ничем не поможет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
Научился восстанавливать архивы. Делается это, в принципе, элементарно. Значит, есть ведь шанс, что остальные файлы можно восстановить??? (Крик души )