Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 47.

"Пиратский" шифровальщик: симбиоз с RSA

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021

    "Пиратский" шифровальщик: симбиоз с RSA

    Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.

    Примеры тем:

    http://virusinfo.info/showthread.php?t=143533
    http://virusinfo.info/showthread.php?t=143500
    http://virusinfo.info/showthread.php?t=143499
    http://virusinfo.info/showthread.php?t=143459

    Механизм шифрования:

    Шифруются файлы следующих типов:
    .jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

    Поиск на компьютере ведется в следующем порядке: k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:

    Шифрование происходит сразу в 10 потоков.

    К имени файла дописывается .ZERO@DBZMAIL.COM_IQxxx или .MAMBAEE@AOL.COM_IQxxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


    Шифрование происходит в три этапа:

    1) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 0);

    2) RSA-шифрование (пример ключа для одной из модификаций – 11679767735264220485651349838330229246392607105907 26252490992761328814145763793811984836161959640636 12596099704536983971902685484479475553989498651372 97561304950905533839304567282737928548519370100252 6757886746354558344125314610739229913);

    3) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 1).

    На этапах 1 и 3 при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
    Заменяется:
    а) 1024 байта, если размер файла не превышает 6114 байт;
    б) 6114 байт, если размер файла больше, чем 6114 байт.

    На этапе 2 при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.

    Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

    Как предотвратить шифрование:
    1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

    2) пользоваться антивирусом и своевременно обновлять его базы.

    Как уменьшить риск потерять информацию:
    1) резервное копирование информации на отдельные CD/DVD-носители;

    2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
    Последний раз редактировалось thyrex; 11.08.2013 в 23:04.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    09.08.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от thyrex Посмотреть сообщение

    Как уменьшить риск потерять информацию:

    2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
    такое ощущение что куска текста не хватает

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Все нормально
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    09.08.2013
    Сообщений
    5
    Вес репутации
    17
    непонятно как создание темы может спасти "хотя бы часть файлов от шифрования"
    я тоже пострадавшая , хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe в диспетчере задач
    Последний раз редактировалось Natalia_M; 09.08.2013 в 21:39.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Цитата Сообщение от Natalia_M Посмотреть сообщение
    хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe
    не все такие продвинутые, как Вы. Для них и написан этот пункт. Да и без удаления файла после перезагрузки процесс продолжится

    - - - Добавлено - - -

    Тело 312.exe сохранилось?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    09.08.2013
    Сообщений
    5
    Вес репутации
    17
    Теперь понятно. т.е. после обращения на форум, последует совет что делать дальше.
    Спасибо за расшифровку пункта.
    Буду ждать может изобретут утилиту и для расшифровки файлов

    Цитата Сообщение от thyrex Посмотреть сообщение
    Тело 312.exe сохранилось?
    к сожалению -нет. не думала что всё так серьезно.
    Акронисом стерла всё. Зашифрованные файлы вообще обнаружила на след.день
    Последний раз редактировалось Natalia_M; 09.08.2013 в 21:58.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    А расширение какое у файлов появилось?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    09.08.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от thyrex Посмотреть сообщение
    А расширение какое у файлов появилось?
    zero@dbzmail.com_IQ79
    Последний раз редактировалось Natalia_M; 10.08.2013 в 09:01.

  10. #9
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    32
    Таже проблема! Есть смысл ждать дешифратор???

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    А прочитать внимательно первое сообщение в части вывод?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    12.08.2013
    Сообщений
    6
    Вес репутации
    17

    312.exe

    Файл из автозагрузки 312.exe есть
    Последний раз редактировалось imagination; 12.08.2013 в 16:29.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,129
    Вес репутации
    929
    Цитата Сообщение от imagination Посмотреть сообщение
    Файл из автозагрузки 312.exe есть
    Присылайте сюда. Файл нужно предварительно поместить в архив ZIP.

  14. Это понравилось:


  15. #13
    Junior Member Репутация
    Регистрация
    12.08.2013
    Сообщений
    6
    Вес репутации
    17
    Цитата Сообщение от Никита Соловьев Посмотреть сообщение
    Присылайте сюда. Файл нужно предварительно поместить в архив ZIP.
    Отправил, надеюсь корректно
    Дмитрий

  16. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,129
    Вес репутации
    929
    Цитата Сообщение от imagination Посмотреть сообщение
    Отправил, надеюсь корректно
    Да, файлы получены.

  17. #15
    Junior Member Репутация
    Регистрация
    10.08.2013
    Сообщений
    6
    Вес репутации
    17
    товарищи, а не подскажите: сколько весит файл 312.exe/ Заранее спасибо

  18. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Какая разница сколько весит сам шифровальщик. Даже его наличие ничем не поможет. Все написано в выводе (и даже выделено)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #17
    Junior Member Репутация
    Регистрация
    12.08.2013
    Сообщений
    6
    Вес репутации
    17
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).
    *.zero@dbzmail.com_xxx, *.mambaee@aol.com_xxx, *.SOS@AUSI.com_xxx
    Владельцам лицензий drweb возможно будет частичное восстановление doc и jpg.
    http://forum.drweb.com/index.php?showtopic=314850
    Дмитрий

  20. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    imagination, к сожалению для большинства, к счастью для меньшинства, я думаю,
    Цитата Сообщение от imagination Посмотреть сообщение
    частичное восстановление doc и jpg
    - это практически ничего
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    .SOS@AUSI.com_AUxxx - из этой же серии

    .SOS@TASMANIAN.COM_TAxxx скорее всего тоже
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  22. Это понравилось:


  23. #20
    Junior Member Репутация
    Регистрация
    21.08.2013
    Сообщений
    1
    Вес репутации
    17
    отправил вложение из письма Образец.rar.zip размер 488940 байт
    шифрует фаилы с расширением .sos@ausi.com_IQ109

    прошу помощи ....
    надо расшифровать

Страница 1 из 3 123 Последняя

Похожие темы

  1. "Пиратский" шифровальщик
    От thyrex в разделе Шифровальщики
    Ответов: 11
    Последнее сообщение: 19.08.2013, 19:37
  2. HP iPAQ rx5940 Travel Companion: удачный симбиоз КПК и GPS-навигатора
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 0
    Последнее сообщение: 15.05.2008, 19:57
  3. Про пиратский софт и как не стать уголовником
    От SDA в разделе Новости интернет-пространства
    Ответов: 12
    Последнее сообщение: 12.01.2008, 21:15
  4. Пиратский дистрибутив Win XP
    От Эгиль в разделе Microsoft Windows
    Ответов: 5
    Последнее сообщение: 21.06.2005, 00:39

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00395 seconds with 16 queries