• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

"Пиратский" шифровальщик

  • Автор темы Автор темы thyrex
  • Дата начала Дата начала

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,887
Реакции
2,433
Очередной шифровальщик от автора с ником Пират (соратник Корректора). В этот раз для шифрования используется шифр Виженера.

Примеры тем:

компьютер захватили пираты - ZUBAGUGU@AOL.COM_S1 (заявка № 143127)
Заражение вирусом ZUBAGUGU (заявка № 143140)
Шифровальщик africa@toke.com_120 (заявка № 143046)
Шифровальщик africa@toke.com_700 [HEUR:Trojan.Win32.Generic, Trojan.Win32.Buzus.nvew ] (заявка № 143074)

Механизм шифрования:

Шифруются файлы следующих типов:
.jpg, .jpeg, .doc, .rtf, .xls, .zip, .db3, .rar, .7z, .docx, .pdf, .odt, .ppt, .mdb, .dwg, .xml, .dt, .ppsx, .pptx, .xlsx, .1cd, .dbf

Поиск на компьютере ведется в следующем порядке: m:, k:, e:,f:, g:, n:, j:, l:, u:, z:, r:, y:, o:, x:, q:, t:, s:, v:,w:, i:, h:, d:, c:

Шифрование происходит сразу в 10 потоков.

Число шифруемых байт не превышает заранее выбранного числа-1. Если размер файла окажется меньше, чем выбранное число, шифруется на 1 байт меньше, чем размер файла

К имени файла дописывается .AFRICA@TOKE.COM_xxx или .ZUBAGUGU@AOL.COM_xxx, где xxx – некое число. В качестве заставки Рабочего стола устанавливается картинка вида (для одной из версий)


Ключ шифрования получается из трех составных частей:

1) серийный номер системного диска (в строковом представлении без дефиса).

2) случайная строка произвольной длины;

3) произвольно выбранное число (в строковом представлении);

Для наглядности приведу пример:
Первая компонента: ABCD10EE

Втораякомпонента: 8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF765

Третья компонента: 65536

Ключ шифрования:ABCD10EE8;7TnGZ6,cjXo<sB.k{=tB@!lB2[EMyufo2CIIZJ27v)M5qHb+v1^iPQ3u1rvg#LD#3()V5t92C1vzxVT81V[guC>VL^8.DJ,593cAxFFH}5(U2hM;4*>\^D9$yL*~U_34iioN>p37430x!l$1*Y1vHlP9wj3rBr32@f361(H1hM1Z%AeMSqOOo*^LV5[WA82jUlT1dJJ3~[XX47W7ppjJMgE2~2*9.B7<571HW6xcZFP+!d7><DxZGYfF76565536

При шифровании происходит последовательное побайтное чтение содержимого файла изамена прочитанного байта по определенному алгоритму с использованием ключа.

Как расшифровать: если Вы являетесь счастливым обладателем лицензии от DrWeb, обращайтесь Зашифрованы файлы, .AFRICA@TOKE.COM_xxx, .ZUBAGUGU@AOL.COM_xxx - Помощь по лечению.

Как предотвратить шифрование:
1)главная истина, которая стара как мир – не открывать неизвестные вложения из писем с предупреждениями о задолженности и возбуждении иска от разного родасудов, приставов, коллекторских агентств, банков

2) пользоваться антивирусом и своевременно обновлять его базы. =
 
Последнее редактирование модератором:
Оригинальные файлы перезаписываются?
 
Тогда можно попробовать восстановить удаленное.
 
Ну это если область на диске не была занята новым файлом
 
Назад
Сверху Снизу