- Сообщения
- 3,885
- Реакции
- 2,432
Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.
Примеры тем:
http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf
Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:
К имени файла дописывается Crypted.
В качестве заставки рабочего стола устанавливается картинка
На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
Ключ шифрования получается из трех составных частей:
1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999;
2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт);
3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.
Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.
Для наглядности приведу пример:
Вывод: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.
Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;
2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика);
3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
Примеры тем:
http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688
Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf
Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:
К имени файла дописывается Crypted.
В качестве заставки рабочего стола устанавливается картинка
На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
Ключ шифрования получается из трех составных частей:
1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999;
2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт);
3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.
Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.
Для наглядности приведу пример:
Случайное число: 16406043
MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™
Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9
Третья компонента:
65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297
Ключ шифрования:
6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937
MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™
Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9
Третья компонента:
65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297
Ключ шифрования:
6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937
Вывод: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.
Как предотвратить шифрование:
1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;
2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика);
3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
Последнее редактирование модератором:
