-
Junior Member
- Вес репутации
- 34
Вот уже появилась и 7 версия вируса. Друг поймал. [email protected]
Прилагаю два архива. Без пароля. Один с оригинальными файлами. Второй после работы вируса:
https://cloud.mail.ru/public/3d3afe1f35a5/_original.rar
https://cloud.mail.ru/public/c0d9ae0...sle_virusa.rar
================================================== ============
может это сможет помочь расшифровать другим.
Я же переустановил всё. Радикально но надёжнее. :-)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
External Specialist
- Вес репутации
- 34
Я для 7 версии уже успешно восстанавливаю ключи.
Но не по четырем файлам.
-
-
-
External Specialist
- Вес репутации
- 34
Интересно, они так и будут раз в неделю новую версию выпускать?
-
Какая-нибудь бага обнаружилась, вот и вышла новая версия.
Насколько я понял, в версии 7 автор попытался реализовать остановку работающего тела при запуске второй копии.
В версии 8 это опять исчезло.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
External Specialist
- Вес репутации
- 34
Ничего автор не пытался реализовать в 7 версии. Просто чтобы затруднить расшифровку и подбор ключа,
увеличил ключ до 0x1000, выборку из ключа для шифрования файлов до 0x200. И в выборку стали попадать
только четные значения. В результате в два раза облегчился подбор ключа. С арифметикой у автора плохо.
-
Junior Member
- Вес репутации
- 34
Подскажите, словил шифровальщик 4 версии (id-{MPTWADGJMPTWZCFILPSUYBEHKNQUXZDGJMQS-22.03.2015 2@55@272820060}[email protected]), комп возможно вовремя выключил, потому что обнаружил файл вируса в папке "Documents and Settings\Администратор\Program Files\1\Explorer[1].exe". Вирус Касперский классифицировал, как Trojan-Ransom.Win32.Cryakl.av. В папке также лежал файл d.bat с текстом:
ping -n 10 localhost>Nul
del /f /q C:\Documents and Settings\Администратор\Program Files\1\*.exe
del /f /q C:\Documents and Settings\Администратор\Program Files\1\*.bat
и файл 1.tmp с текстом:
{MPTWADGJMPTWZCFILPSUYBEHKNQUXZDGJMQS-22.03.2015 2@55@272820060}
9163454751465548606044665492
Этот текст - не ключ дешифратора? Если да, как расшифровать зашифрованное?
Спасибо за помощь!!!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Спасибо за статью,
Не могу понять из чего состоит мастер ключ и ключ шифрования для каждого файла.
- генерируется 100 символьная строка из латинских цифр (мастер-ключ), вычисляется MD5-хэш 40 блоков по 5 символов, который вместе с идентификатором отправляется на сервера злоумышленника (проверка наличия интернета осуществляется обращением к трем серверам - ожидает ответ от сервера);
- шифрование подходящих типов файлов (уникальный для каждого файла ключ шифрования - MD5-хэш из строки, содержащей 40 символов случайной выборкой из мастер-ключа + случайная цифра от 0 до 9);
В первом непонятно, что такое латинские цифры (они же римские) - это набор {I}{V}{X}{L}{D}{C}{M}....100 или {I}{II}{III}{IV}{V}{VI}{VII}.....100.
Или это опечатка и имелись ввиду арабские 0-9.
По второму, у меня есть хэш сумма [E441563C82976C2C58CE69C26C1FD6CD] которая состоит из 40 одинаковых индексов, а вот подобрать ее не выходит. Пробывал все символы от 0-255 с длиной строки от 0-255 (+ вариант с 1 случайным символом тоже от 0-255 на всякий случай). Ничего не выходит. Брал md5() и md5(md5()). Все в пустую.
-
External Specialist
- Вес репутации
- 34
По первому
Пароль состоит из 100 латинских букв в верхнем регистре от A до Z.
По второму
У Вас в одном файле все индексы одинаковые?
И что Вы хотите сделать.
Ну узнаете одно значение из ключа, расшифруете один файл, а дальше?
-
Junior Member
- Вес репутации
- 34
Да, у меня в одном файле все индексы одинаковые.
У меня таких даже 2 файла.
Значит 2 индекса из 100 я уже нашел, найти остальные вопрос времени и везения.
-
External Specialist
- Вес репутации
- 34
Это 26 в степени 62 вариантов.
А как Вы собираетесь правильность подобранного ключа проверять?
-
Junior Member
- Вес репутации
- 34
Значит в мастер ключе все же латинские буквы, а не латинские цифры (раз 26 в степени) , только непонятно почему 62 степень. Если длинна 100 (при 2 известных 98 ).
А как Вы собираетесь правильность подобранного ключа проверять?
sergh1970, мне бы пока проверку ключа шифрования, в статье написано, что это md5(md5(master[0] + master[1] + master[0] +...master[40]) + random(0,9)), m0xter4ik писал вроде без "соли" (rand(0,9)). Вроде все перепробовал, не подходит.
-
External Specialist
- Вес репутации
- 34
Извиняюсь, там же в десятичной системе 100
в 98 степени.
последнее 41 число от 0x30 до 0x39
-
Junior Member
- Вес репутации
- 34
Я правильно понимаю, что строка при совпадении индексов будет "AAAAAA...AAAAA35" или "....АА5"
или вообще "444444....4444435". Проверка говорит ничего не подходит.
Есть еще вариант "414141....4135" тут длинна строки непонятна.
Может у вас получится подобрать ? там всего 10 вариантов.
-
External Specialist
- Вес репутации
- 34
Хорошо кинь ссылку на файл в личку
-
Junior Member
- Вес репутации
- 34
Ларчик вскрыт, не без труда и удачи конечно.
Описывать не буду, не тот случай, чтоб указывать автору на ошибки.
Не болейте :-).
-
Junior Member
- Вес репутации
- 33
Сообщение от
sergh1970
Хорошо кинь ссылку на файл в личку
Приветствую спецов!
Знакомая попалась с "[email protected] 0.0.1.0".
Я Вам в личку написал. Думаю не стоит отдельную тему создавать?
-
Junior Member
- Вес репутации
- 37
Доброго времени
тоже столкнулся с "[email protected] 0.0.1.0"
помогите если можете
-
Junior Member
- Вес репутации
- 33
Сообщение от
vectorman
Следите за этой темой http://virusinfo.info/showthread.php...=1#post1271864
Пока надежд никаких абсолютно.