сегодня наткнулся на неизвестный вирус-скрипт, который по Blowfish алгоритму зашифровал расшареные папки на сервере.
Алгоритм:
1. по маскам вычисляются файлы для щыфровки (txt doc xls ...) в папке FOLDER
2. Создается папка thumbs.ws с ini'шником , благодаря которму винда не может ее корректно открыть, Тоталкомандер может, дальше лежит еще папка с нечитаемым названием в винде и файл system.db, в котором я так понял лежит структура каталогов внутри FOLDER, и дальше сами файлы, шыфрованные и переименованные, с расширением .RN
3. в корне лежит дещыфровшик, и картинка а-ля "у вас нелиценз ПО, отправьте запрос на мыло, скажите свой ИД (ИД на картинке же)"
4. В ответ присылают суммы за пароль расшыфровки, 3к-20к рублей.
5. Самое смешное что реально присылают и все восстанавливается.
Написал запрос Др.Вебу и Касперам, приложил оригинал файла, щыфрованный файл, system.db, и (де)щыфратор. в ответ получил ответ "длина пороля 29 символов, нереально в разумные сроки".
вопрос: как они узнали длину пороля ? И почему пидаров до сих пор не выловили, ибо это тащитса аж с 2011 года и система роботает. Насколько я знаю СМС-локеров быстро прикрыли и денги улетали впустоту, а тут налицо бизнес-модель действующяя. Причом в некоторых случяях веберы и каспиры все же подбирали пороли длиной 10-15 символов.
Насколько я знаю, имея шыфратор, исходный файл и результат все же можно вычислить ключ же.
решение было найденно, но неполное, ибо doc-файлы бились, картинки и таблицы - нет, структура папок рушилась, причом пороль оставалсо неизвестным.
Кто-то сталкивалсо ? каменты ?
|