"Пиратский" шифровальщик: симбиоз с RSA

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 9 авг 2013.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Очередной шифровальщик от автора с ником Пират. В этот раз для шифрования используется шифр Виженера + RSA-шифрование.

    Примеры тем:

    http://virusinfo.info/showthread.php?t=143533
    http://virusinfo.info/showthread.php?t=143500
    http://virusinfo.info/showthread.php?t=143499
    http://virusinfo.info/showthread.php?t=143459

    Механизм шифрования:

    Шифруются файлы следующих типов:
    .jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

    Поиск на компьютере ведется в следующем порядке: k:, e:, f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:,c:

    Шифрованиепроисходит сразу в 10 потоков.

    К имени файла дописывается .ZERO@DBZMAIL.COM_IQxxx или .MAMBAEE@AOL.COM_IQxxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)
    [​IMG]

    Шифрование происходит в три этапа:

    1) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 0);

    2) RSA-шифрование (пример ключа для одной из модификаций – 1167976773526422048565134983833022924639260710590726252490992761328814145763793811984836161959640
    63612596099704536983971902685484479475553989498651372975613049509055338393045672827379285485193
    701002526757886746354558344125314610739229913
    );

    3) шифр Виженера (в качестве ключа используется новое расширение файла, номер шифруемого байта в файле, число 1).

    На этапах 1 и 3 при шифровании происходит последовательное побайтное чтение содержимого файла и замена прочитанного байта по определенному алгоритму с использованием ключа.
    Заменяется:
    а) 1024 байта, если размер файла не превышает 6114 байт;
    б) 6114 байт, если размер файла больше, чем 6114 байт.

    На этапе 2 при шифровании используется библиотека FGInt. Заменяются до 5 цепочек по 15 байт по смещениям $0, $400, $800, $C00, $1000. Информация, необходимая для дешифровки этих цепочек, дописывается в конец файла.

    Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

    Как предотвратить шифрование:
    1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

    2) пользоваться антивирусом и своевременно обновлять его базы.

    Как уменьшить риск потерять информацию:
    1) резервное копирование информации на отдельные CD/DVD-носители;

    2) при обнаружении зашифрованных файлов незамедлительно создать тему в разделе борьбы с вирусами, поскольку шифровальщик прописывает себя в Автозагрузку при старте системы. Этим Вы спасете хотя бы часть файлов от шифрования.
     
    Последнее редактирование: 9 авг 2013
    6 пользователям это понравилось.

Поделиться этой страницей