Помогите найти дешифровщик

[Jaw]

зашифрованные файлы , помогите найти дешифровщик, вирус с...ка защифровал все файлы

http://rghost.ru/56764549

[VR]

Для поиска дешифратора нужно знать как авторы вредоноса вымогают деньги, то есть способ связи который они сообщаю для связи и покупки дешифратора 

[Jaw]

поздравляю вы подцепили вирус теперь ваши файлы зашифрованы  если хотите их расшифровать то пишите нам на почту  ms13020@mail.ru или ms13020@yandex.ru  отвечю в течение 2-3 часов  при обращении В письме укажите ваш ID:

 

Ваш ID  24658797907674343

 

да и отключите интернет до полного решения проблемы у нас предоставляется гарантия расшифровки файлов если на mail.ru не ответят пишите на yandex.ru

[VR]

для попытки расшифровки нужно тело шифратора.

[Jaw]

увы его нет

[PC-Service]

Систему проверяли антивирусом? Желательно просканировать в режиме поиска без лечения/удаления. Будет информация по зловреду. С ней уже будет больше шансов найти дешифратор.

[Jaw]

все проверил нашел что взлом через RDP... 

нашел папки и проги некоторые серовно не то что то... 

[VR]

случаем это не сервер? есть возможность удаленного входа в сиcтему?

Создай тему тут http://forum.kaspersky.com/index.php?showforum=18 согласно вот этим  правилам

[Jaw]

Сервер Удаленка есть 

[VR]

Тогда надежда только на то что найдут у вас тело шифратора.

[toll]

нужно обязательно сохранить тело вируса .. антивирус его в карантин кидает ... по нему ищи в тырнете дешифровщика ... ключом является какая то системная информация (может путь до тела вируса или название каких то папок)...

[Jaw]

file shredder 2.5 нашел программу ей было все затерто... 

[PC-Service]

все проверил нашел что взлом через RDP...  нашел папки и проги некоторые серовно не то что то... 

file shredder 2.5 нашел программу ей было все затерто... 

Как определил?

поздравляю вы подцепили вирус теперь ваши файлы зашифрованы  если хотите их расшифровать то пишите нам на почту  ms13020@mail.ru или ms13020@yandex.ru  отвечю в течение 2-3 часов  при обращении В письме укажите ваш ID:   Ваш ID  24658797907674343   да и отключите интернет до полного решения проблемы у нас предоставляется гарантия расшифровки файлов если на mail.ru не ответят пишите на yandex.ru

Это сообщение откуда?

[Jaw]

лежал фаил текстовый... 

[hook]

Задача нетривиальна! А так, если не знаешь открытого ключа хрен расшифруешь. Но надежда умирает последней.

 

В общем виде это y=f(x, k), где x - оригинал, y - зашифрованый алгоритмом f с ключом k оригинал. Задача в общем случае не имеет решения. Например: пусть x=2, k=2, y=4. тогда f может быть и (x+k), и (x*k), и (xk).

 

Я бы сделал так -  Сделал полный образ системы. В нем искал зловреда. Как нашел, берешь отладчик + песочницу и на виртуалочке его ковыряешь.

 

Но я сомневаюсь что в подобном ПО будут использовать стойкие алгоритмы. Скорее всего какой нить xor или Base64. 

 

Он у тебя весь диск зашифровал?

Как вариант.возьми например notepad или cmd. Ну или не данные которые будут одинаковые на двух системах и сравни их. 

 

2 вариант. Просканить образ антивирем. Может найдет что-то по имени типа: TrojanCryptXor16. Из названия можно узнать алгоритм.

 

По хешу можно даже не искать ведь:

1.  шифрование и хеширование - это разные вещи;
2. Результат работы функции хеширования, то можно поискать все известные и посмотреть, к которой на выходе получается такое же количество байт; если это сообщение, это конкатенация 2х/3х и т.д., то вы никак не сможете определить алгоритм хеширования;
3. исходное значение узнать можно только прямым перебором всех возможных комбинаций

Ну вот как то так... Я бы лучше ковырял тело зловреда.

Изменено 16 июля, 2014 пользователем hook

[VR]

Но я сомневаюсь что в подобном ПО будут использовать стойкие алгоритмы. Скорее всего какой нить xor или Base64. 

вот тут не совсем верно, сейчас большинство зловредный использую  стойкие алгоритмы шифрования, на более часто встречаемый RSA-1024