• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

"Пиратский" шифровальщик

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,368
Симпатии
2,443
#1
Очередной шифровальщик от автора с ником Пират (соратник Корректора). В этот раз для шифрования используется шифр Виженера.

Примеры тем:

http://virusinfo.info/showthread.php?t=143127
http://virusinfo.info/showthread.php?t=143140
http://virusinfo.info/showthread.php?t=143046
http://virusinfo.info/showthread.php?t=143074

Механизм шифрования:

Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

Поиск на компьютере ведется в следующем порядке: m:, k:, e:,f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:, c:

Шифрование происходит сразу в 10 потоков.

Число шифруемых байт не превышает заранее выбранного числа-1. Если размер файла окажется меньше, чем выбранное число, шифруется на 1 байт меньше, чем размер файла

К имени файла дописывается .AFRICA@TOKE.COM_xxx или .ZUBAGUGU@AOL.COM_xxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


Ключ шифрования получается из трех составных частей:

1) серийный номер системного диска (в строковом представлении без дефиса).

2) случайная строка произвольной длины;

3) произвольно выбранное число (в строковом представлении);

Для наглядности приведу пример:
Первая компонента: ABCD10EE

Втораякомпонента: 8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF765

Третья компонента: 65536

Ключ шифрования:ABCD10EE8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF76565536

При шифровании происходит последовательное побайтное чтение содержимого файла изамена прочитанного байта по определенному алгоритму с использованием ключа.

Как расшифровать: если Вы являетесь счастливым обладателем лицензии от DrWeb, обращайтесь http://forum.drweb.com/index.php?showtopic=314769.

Как предотвратить шифрование:
1)главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного родасудов, приставов, коллекторских агентств, банков

[FONT=&quot]2) пользоваться антивирусом и своевременно обновлять его базы. [/FONT]
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,773
Симпатии
12,140
#3
Оригинальные файлы перезаписываются?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,368
Симпатии
2,443
#4
В модификациях S1 и S3 уменьшения на 1 размера шифруемого блока не происходит

Оригинальные файлы перезаписываются?
Файл сохраняется под новым именем, оригинал удаляется
 

akok

Команда форума
Администратор
Сообщения
14,773
Симпатии
12,140
#5
Тогда можно попробовать восстановить удаленное.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,368
Симпатии
2,443
#6
Ну это если область на диске не была занята новым файлом
 
Сверху Снизу