• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

"Пиратский" шифровальщик: симбиоз с RSA

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,787
Реакции
2,395
Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.

Примеры тем:

http://virusinfo.info/showthread.php?t=143533
http://virusinfo.info/showthread.php?t=143500
http://virusinfo.info/showthread.php?t=143499
http://virusinfo.info/showthread.php?t=143459

Механизм шифрования:

Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

Поиск на компьютере ведется в следующем порядке: k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:

Шифрованиепроисходит сразу в 10 потоков.

К имени файла дописывается .ZERO@DBZMAIL.COM_IQxxx или .MAMBAEE@AOL.COM_IQxxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


Шифрование происходит в три этапа:

1) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 0);

2) RSA-шифрование (пример ключа для одной из модификаций – 1167976773526422048565134983833022924639260710590726252490992761328814145763793811984836161959640
63612596099704536983971902685484479475553989498651372975613049509055338393045672827379285485193
701002526757886746354558344125314610739229913
);

3) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 1).

На этапах 1 и 3 при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
Заменяется:
а) 1024 байта, если размер файла не превышает 6114 байт;
б) 6114 байт, если размер файла больше, чем 6114 байт.

На этапе 2 при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.

Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

2) пользоваться антивирусом и своевременно обновлять его базы.

Как уменьшить риск потерять информацию:
1) резервное копирование информации на отдельные CD/DVD-носители;

2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
 
Последнее редактирование:
Назад
Сверху Снизу