-
"Пиратский" шифровальщик: симбиоз с RSA
Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.
Примеры тем:
http://virusinfo.info/showthread.php?t=143533
http://virusinfo.info/showthread.php?t=143500
http://virusinfo.info/showthread.php?t=143499
http://virusinfo.info/showthread.php?t=143459
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf
Поиск на компьютере ведется в следующем порядке: k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:
Шифрование происходит сразу в 10 потоков.
К имени файла дописывается [email protected]_IQxxx или [email protected]_IQxxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)
Шифрование происходит в три этапа:
1) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 0);
2) RSA-шифрование (пример ключа для одной из модификаций – 11679767735264220485651349838330229246392607105907 26252490992761328814145763793811984836161959640636 12596099704536983971902685484479475553989498651372 97561304950905533839304567282737928548519370100252 6757886746354558344125314610739229913);
3) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 1).
На этапах 1 и 3 при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
Заменяется:
а) 1024 байта, если размер файла не превышает 6114 байт;
б) 6114 байт, если размер файла больше, чем 6114 байт.
На этапе 2 при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.
Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).
Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;
2) пользоваться антивирусом и своевременно обновлять его базы.
Как уменьшить риск потерять информацию:
1) резервное копирование информации на отдельные CD/DVD-носители;
2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
Последний раз редактировалось thyrex; 12.08.2013 в 00:04.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 40
Сообщение от
thyrex
Как уменьшить риск потерять информацию:
2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
такое ощущение что куска текста не хватает
-
Все нормально
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
непонятно как создание темы может спасти "хотя бы часть файлов от шифрования"
я тоже пострадавшая , хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe в диспетчере задач
Последний раз редактировалось Natalia_M; 09.08.2013 в 22:39.
-
Сообщение от
Natalia_M
хотя часть файлов мне удалось спасти вовремя пристрелив процесс 312.exe
не все такие продвинутые, как Вы. Для них и написан этот пункт. Да и без удаления файла после перезагрузки процесс продолжится
- - - Добавлено - - -
Тело 312.exe сохранилось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Теперь понятно. т.е. после обращения на форум, последует совет что делать дальше.
Спасибо за расшифровку пункта.
Буду ждать может изобретут утилиту и для расшифровки файлов
Сообщение от
thyrex
Тело 312.exe сохранилось?
к сожалению -нет. не думала что всё так серьезно.
Акронисом стерла всё. Зашифрованные файлы вообще обнаружила на след.день
Последний раз редактировалось Natalia_M; 09.08.2013 в 22:58.
-
А расширение какое у файлов появилось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
thyrex
А расширение какое у файлов появилось?
[email protected]_IQ79
Последний раз редактировалось Natalia_M; 10.08.2013 в 10:01.
-
Junior Member
- Вес репутации
- 54
Таже проблема! Есть смысл ждать дешифратор???
-
А прочитать внимательно первое сообщение в части вывод?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
312.exe
Файл из автозагрузки 312.exe есть
Последний раз редактировалось imagination; 12.08.2013 в 17:29.
-
Сообщение от
imagination
Файл из автозагрузки 312.exe есть
Присылайте сюда. Файл нужно предварительно поместить в архив ZIP.
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
Никита Соловьев
Присылайте
сюда. Файл нужно предварительно поместить в архив ZIP.
Отправил, надеюсь корректно
-
Сообщение от
imagination
Отправил, надеюсь корректно
Да, файлы получены.
-
-
Junior Member
- Вес репутации
- 40
товарищи, а не подскажите: сколько весит файл 312.exe/ Заранее спасибо
-
Какая разница сколько весит сам шифровальщик. Даже его наличие ничем не поможет. Все написано в выводе (и даже выделено)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
thyrex
Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).
*[email protected]_xxx, *[email protected]_xxx, *[email protected]_xxx
Владельцам лицензий drweb возможно будет частичное восстановление doc и jpg.
http://forum.drweb.com/index.php?showtopic=314850
-
imagination, к сожалению для большинства, к счастью для меньшинства, я думаю,
Сообщение от
imagination
частичное восстановление doc и jpg
- это практически ничего
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
[email protected]_AUxxx - из этой же серии
[email protected]_TAxxx скорее всего тоже
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
отправил вложение из письма Образец.rar.zip размер 488940 байт
шифрует фаилы с расширением [email protected]_IQ109
прошу помощи ....
надо расшифровать