+7 (499) 653-94-99
24

Trojan-Ransom.Win32.Rector

Несмотря на то, что подвидов этого шифровальщика великое множество, по ряду характерных признаков можно определить, что файлы зашифрованы именно им, и это, в свою очередь, облегчает и ускоряет процесс расшифровки. Вот эти признаки:

1) В файле шифруется несколько небольших (5-35 байт, в зависимости от типа шифровальщика) фрагментов. Зашифрованные элементы располагаются по файлу следующим образом: первый закодированный блок в начале файла (смещение 0x0), следующий – со смещения 0x400 от начала, третий – 0x800 от начала файла и далее с шагом 0x400. Например, на этом скриншоте ниже показано первое “пятно” размером 30 байт с символами 88

2) В конец зашифрованного файла Trojan.Encoder.102 дописывает блок информации, которая необходима (но не достаточна!) для восстановления, и самым последним байтом – общее число зашифрованных пятен (чаще всего их количество равно 5)

3) Имя и расширение файла после зашифровки данных этот троянец может как изменить, так и не менять. В первом случае часто встречаются добавочные расширения:

*.tutu@safrica.com_Xxx
*.banan@blader.com_xxx
*.uas@nonpartisan.com_IQ
*.HELP@AUSI.COM_XQ*
*.sos@ausi.com_ZQ*
*.SAD@FIREMAN.NET_AM*
*COMODO@EXECS.COM_hex*
*.SOS@AUSI.COM_ID*
*ZANZIBAR@umpire.com_ZA*
*REDBULL@PRIEST.COM_RB*
*HELP@AUSI.COM_XO*
*.REDBULL@PRIEST.COM_RE*
*.Heinz@oaht.com_h*
*.NUMBAZA@SEZNAM.CZ_Q*
*.backspace@riseup.net_*
*.numlock@riseup.net_*
4) Злоумышленники требуют отправки сообщения на e-mail (ниже приведены часто встречающиеся) для получения реквизитов для оплаты:

pomogiotkosit@yahoo.com
zog666@yahoo.com
harry.codder@yahoo.com
5) Зачастую фон рабочего стола меняется на картинку с требованиями, примеры требований приведены ниже:

На данный момент встречается порядка десяти вариантов картинок и требований. Стоимость расшифровки указывается в пределах от трёх до двадцати тысяч рублей (как правило, стоимость указывается в долларах или евро). Справедливости ради следует отметить, что расшифровщик, как правило, присылают. Но ключ расшифровки подходит только для одного вида. Например, ключ для расшифровки файлов с расширением *.NUMBAZA@SEZNAM.CZ_Q100 не подойдет для расшифровки документов с расширением *.NUMBAZA@SEZNAM.CZ_Q101

Троянцы этого семейства используют стойкое шифрование с открытым ключом. Алгоритм шифрования: RSA. В основу криптографической системы RSA положена вычислительная сложность задачи факторизации произведения двух больших простых чисел. Проще говоря, для выполнения прямой операции (шифрования) используется некоторое большое число, которое в криптографической схеме RSA играет роль открытого ключа. Термин «большое число» означает, что для его представления требуется несколько сотен бит (в последних известных вариантах троянца используются числа с разрядностью порядка 700 бит).

Открытый ключ можно считать известным. Во всяком случае, оно может быть извлечено из образца троянца.

В то же время, для выполнения обратной операции (дешифрования) – необходимо знать разложение данного большого числа на простые множители. Это разложение играет в RSA роль закрытого ключа, и при нынешнем уровне развития математики и вычислительной техники неизвестно способа решения этой задачи за разумное время.

На данный момент мы можем полноценно расшифровать файлы после воздействия примерно нескольких сотен видов этого троянца (программы были найдены в Интернете/получены от наших клиентов, купивших их/получены от антивирусных вендоров).

Читайте также
01 / 03