• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик с почтой [email protected]

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Очередная проба пера известного автора шифровальщика с ником Корректор. В этот раз для шифрования используется алгоритм AES Rijndael.

Примеры тем:
http://forum.kaspersky.com/index.php?showtopic=269663
http://virusinfo.info/showthread.php?t=142525
http://virusinfo.info/showthread.php?t=142594
http://virusinfo.info/showthread.php?t=142688

Механизм шифрования:
Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf

Поиск на компьютере ведется в следующем порядке: c:, d:, e:, f:, g:, m:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:, w:, i:, h:, k:, n:

К имени файла дописывается Crypted.

В качестве заставки рабочего стола устанавливается картинка


На компьютере пользователя появляется файл ПРОЧТИЭТО!.txt следующего содержания
Внимание! Всё ваши файлы зашифрованы
Для возврата файлов отправьте свой ID на
почту:
[email protected]
ID:A5A0B80900313EE55E067D7FD35100FA (уникальный набор для каждого компьютера)
Ключ шифрования получается из трех составных частей:
1) MD5-хэш строки, полученный склеиванием строки 'dw' со строковым представлением случайного числа из диапазона от 0 до 99999999;
2) MD5-хэш строки с информацией об оборудовании (серийный номер логического диска С и MAC-адресов сетевых карт);
3) Полученные в пунктах 1 и 2 строки преобразуются в длинные целые числа с использованием библиотеки FGInt, находится их произведение, которое затем преобразуется в строку.
Затем строка, содержащая все три компонента, преобразуется в 16-тиричное представление – это и есть ключ шифрования.

Для наглядности приведу пример:
Случайное число: 16406043
MD5-хэш: D9F3BD070620A5EE92AF904BAE50E555
Первая компонента: dwD9F3BD070620A5EE92AF904BAE50E55™

Информация об оборудовании: 0AE57397F5F2A74E9C87C39B0FFADDD7
Вторая компонента: 0AE57397F5F2A74E9C87C39B0FFADDD9

Третья компонента:
65000750892817124170294607097139263591064215260289731160549676196017371770864190054809984285024555640092670308154591960308840270317439998727326826246333633297

Ключ шифрования:
6477443946334244303730363230413545453932414639303442414535304535359930414535373339374635463241373445394338374333394230464641444444393635303030373530383932383137313234313730323934363037303937313339323633353931303634323135323630323839373331313630353439363736313936303137333731373730383634313930303534383039393834323835303234353535363430303932363730333038313534353931393630333038383430323730333137343339393938373237333236383236323436333333363333323937

Вывод: подобрать подобный ключ нереально за приемлемое время, несмотря на то, что написать дешифратор труда не составит. Основная проблема здесь кроется в случайной первой части ключа.

Как предотвратить шифрование:

1) главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного рода судов, приставов, коллекторских агентств, банков;

2) пользоваться антивирусом и своевременно обновлять его базы. К примеру (не считать за рекламу), установленный у меня Kaspersky Internet Security 2013 со стандартными настройками и базами недельной давности успешно определил эвристиком скомпилированный исходник шифровальщика (исходник 100% совпадает с оригиналом {представляю, как «счастлив» будет автор шифровальщика}), получен вручную после анализа полученного дампа шифровальщика);

3) работает для этого шифровальщика: шифрование не начнется, если после запуска вирус обнаружит, что отсутствует подключение к Интернету (идет отправка на два сервера, один из которых уже точно не выходит на связь), о чем будет уведомлять каждую минуту в надежде, что любознательный пользователь согласится и выйдет в Интернет.
 
Последнее редактирование модератором:
Сверху Снизу