Вопрос к айтишникам - uLMoto

nitroacid · 02.04.2013, 14:37

сегодня наткнулся на неизвестный вирус-скрипт, который по Blowfish алгоритму зашифровал расшареные папки на сервере.
Алгоритм:
1. по маскам вычисляются файлы для щыфровки (txt doc xls ...) в папке FOLDER
2. Создается папка thumbs.ws с ini'шником , благодаря которму винда не может ее корректно открыть, Тоталкомандер может, дальше лежит еще папка с нечитаемым названием в винде и файл system.db, в котором я так понял лежит структура каталогов внутри FOLDER, и дальше сами файлы, шыфрованные и переименованные, с расширением .RN
3. в корне лежит дещыфровшик, и картинка а-ля "у вас нелиценз ПО, отправьте запрос на мыло, скажите свой ИД (ИД на картинке же)"
4. В ответ присылают суммы за пароль расшыфровки, 3к-20к рублей.
5. Самое смешное что реально присылают и все восстанавливается.

Написал запрос Др.Вебу и Касперам, приложил оригинал файла, щыфрованный файл, system.db, и (де)щыфратор. в ответ получил ответ "длина пороля 29 символов, нереально в разумные сроки".
вопрос: как они узнали длину пороля ? И почему пидаров до сих пор не выловили, ибо это тащитса аж с 2011 года и система роботает. Насколько я знаю СМС-локеров быстро прикрыли и денги улетали впустоту, а тут налицо бизнес-модель действующяя. Причом в некоторых случяях веберы и каспиры все же подбирали пороли длиной 10-15 символов.
Насколько я знаю, имея шыфратор, исходный файл и результат все же можно вычислить ключ же.

решение было найденно, но неполное, ибо doc-файлы бились, картинки и таблицы - нет, структура папок рушилась, причом пороль оставалсо неизвестным.

Кто-то сталкивалсо ? каменты ?

02.04.2013, 14:37	#11
nitroacid велосипедист ♦ Регистрация: 06.08.2012 Сообщения: 228 Вес репутации: 0	сегодня наткнулся на неизвестный вирус-скрипт, который по Blowfish алгоритму зашифровал расшареные папки на сервере. Алгоритм: 1. по маскам вычисляются файлы для щыфровки (txt doc xls ...) в папке FOLDER 2. Создается папка thumbs.ws с ini'шником , благодаря которму винда не может ее корректно открыть, Тоталкомандер может, дальше лежит еще папка с нечитаемым названием в винде и файл system.db, в котором я так понял лежит структура каталогов внутри FOLDER, и дальше сами файлы, шыфрованные и переименованные, с расширением .RN 3. в корне лежит дещыфровшик, и картинка а-ля "у вас нелиценз ПО, отправьте запрос на мыло, скажите свой ИД (ИД на картинке же)" 4. В ответ присылают суммы за пароль расшыфровки, 3к-20к рублей. 5. Самое смешное что реально присылают и все восстанавливается. Написал запрос Др.Вебу и Касперам, приложил оригинал файла, щыфрованный файл, system.db, и (де)щыфратор. в ответ получил ответ "длина пороля 29 символов, нереально в разумные сроки". вопрос: как они узнали длину пороля ? И почему пидаров до сих пор не выловили, ибо это тащитса аж с 2011 года и система роботает. Насколько я знаю СМС-локеров быстро прикрыли и денги улетали впустоту, а тут налицо бизнес-модель действующяя. Причом в некоторых случяях веберы и каспиры все же подбирали пороли длиной 10-15 символов. Насколько я знаю, имея шыфратор, исходный файл и результат все же можно вычислить ключ же. решение было найденно, но неполное, ибо doc-файлы бились, картинки и таблицы - нет, структура папок рушилась, причом пороль оставалсо неизвестным. Кто-то сталкивалсо ? каменты ?