"Пиратский" шифровальщик

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 2 авг 2013.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Очередной шифровальщик от автора с ником Пират (соратник Корректора). В этот раз для шифрования используется шифр Виженера.

    Примеры тем:

    http://virusinfo.info/showthread.php?t=143127
    http://virusinfo.info/showthread.php?t=143140
    http://virusinfo.info/showthread.php?t=143046
    http://virusinfo.info/showthread.php?t=143074

    Механизм шифрования:

    Шифруются файлы следующих типов:
    .jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

    Поиск на компьютере ведется в следующем порядке: m:, k:, e:,f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:, c:

    Шифрование происходит сразу в 10 потоков.

    Число шифруемых байт не превышает заранее выбранного числа-1. Если размер файла окажется меньше, чем выбранное число, шифруется на 1 байт меньше, чем размер файла

    К имени файла дописывается .AFRICA@TOKE.COM_xxx или .ZUBAGUGU@AOL.COM_xxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)
    [​IMG]

    Ключ шифрования получается из трех составных частей:

    1) серийный номер системного диска (в строковом представлении без дефиса).

    2) случайная строка произвольной длины;

    3) произвольно выбранное число (в строковом представлении);

    Для наглядности приведу пример:
    Первая компонента: ABCD10EE

    Втораякомпонента: 8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF765

    Третья компонента: 65536

    Ключ шифрования:ABCD10EE8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF76565536

    При шифровании происходит последовательное побайтное чтение содержимого файла изамена прочитанного байта по определенному алгоритму с использованием ключа.

    Как расшифровать: если Вы являетесь счастливым обладателем лицензии от DrWeb, обращайтесь http://forum.drweb.com/index.php?showtopic=314769.

    Как предотвратить шифрование:
    1)главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного родасудов, приставов, коллекторских агентств, банков

    [FONT=&quot]2) пользоваться антивирусом и своевременно обновлять его базы. [/FONT]
     
    Последнее редактирование: 2 авг 2013
    9 пользователям это понравилось.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.433
    Симпатии:
    13.941
    Оригинальные файлы перезаписываются?
     
  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    В модификациях S1 и S3 уменьшения на 1 размера шифруемого блока не происходит

    Файл сохраняется под новым именем, оригинал удаляется
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.433
    Симпатии:
    13.941
    Тогда можно попробовать восстановить удаленное.
     
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Ну это если область на диске не была занята новым файлом
     

Поделиться этой страницей