Что-то новенькое: FTCODE

01/03/2013 13:20

В инете начал гулять новый сифак. При заражении шифрует все файлы. Файлы имеют вид: имяфайла.ftcode
Без участия пользователя не запустится. Так что будьте внимательны получая ссылки от непроверенных источников. КАк это работает:
1) генерирует пароль из 50 знаков.
2) шифрует его с помощью ключа RSA-1024 и отдает его в файл (остается в каждой папке) (этот пароль без 2-го ключа не расшифровать, а он у мошенника)
3) далее этим паролем (используя его как Passphrase) шифрует все файлы компа.


function Encrypt-File($item, $Passphrase) 
{ 
$salt="FTCODE hack your system"; 
$init="FUCKING INIT"; 
$r = new-Object System.Security.Cryptography.RijndaelManaged; 
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase); 
$salt = [Text.Encoding]::UTF8.GetBytes($salt); 
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32); 
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15]; 
$r.Padding="Zeros"; 
$r.Mode="CBC"; 
$c = $r.CreateEncryptor(); 
$ms = new-Object IO.MemoryStream; 
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"W rite"; 
$cs.Write($item, 0,$item.Length); 
$cs.Close(); 
$ms.Close(); 
$r.Clear(); 
return $ms.ToArray(); 
}

4) на раб. столе появляется текстовый файл read_me_now. Текст может быть разный, вот пример

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
Перейти зайти на страницу в интернете по адресу http://bit.ly/11Uql6s и следовать инструкциям
Если ссылка выше не работает перейдите по резервным адресам http://unblock.i2p.to или http://bit.ly/VIertW
При попытке расшифровки без нашей программы файлы могут повредиться!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

в некоторых письмах даже указывают ценник.

Если же всё же поймали сифак, и он закодил важные данные вот способ (win7):

1) Прогнала компьютер через все доступные мне антивирусы какие только могла: Avira, AVG, Dr.Web, Norton и т.д. Нашел пару вирусов, удалил. 2) У меня стоит семерка, не знаю как такое сделать на xp к сожалению. Вручную переименовываете нужный вам файл, удаляете .FTCODE в конце. На сообщение винды жмете ОК. Затем заходите в свойства этого файла - вкладка Предыдущие версии, там должна быть ранее созданная версия этого файла, как правило не так давно созданная, зависит от файла я думаю. Если там есть версия с датой ранее той, когда вы поймали вирус, смело выбираете ее, жмете восстановить и файл открывается.

А ещё можно просто откатить винду на денёк назад через восстановление системы. (проверено)

Топик на касперсокм

Топик на ноде

Главная / Статьи / Компьютеры

ArcheR_AWG
12
3 564

Комментариев 12

Офлайн

kabanarti

kabanarti 1 марта 2013 16:00

+ 0 -

выходной чтоли в пятницу у админов? Инфа збс +

Жалоба

Cerber

Cerber 1 марта 2013 16:47

Забавно, в универе по инф. безопасности писал почти один в один прогу. Тоже текст шифровался алгоритмом Rijndael, только пароль не хешировался по SHA1 как тут, а AES-ом шифровал.

ЗЫ хеш не расшифровывается (только тупой перебор лет 10) если что, так-что платить безсмысленно

CHAMPION

CHAMPION 1 марта 2013 17:14

Хорошо что у меня мак, хахаха :)

anomorphys

anomorphys 1 марта 2013 17:56

Ubuntu, пох)

Ololosha

Ololosha 1 марта 2013 18:09

Мде, представляю что будет, если подобная пакость зашифрует сетевые диски в корпоративной сети, а админ не позаботился о бэкапе. swoon

Кстати, давненько уже не было виря, который бы так деструктивно относятся к пользовательским данным, если начнется эпидемия вирусописательства по этой методе, то ой как все наплачутся. yes

А потом пересядут на убунту, ну или будут хранить самое ценное в облаке. xaxa

QUOTE(FTCODE_PR @ 25.02.2013 15:01)
после оплаты получен дешифровшик

QUOTE(КЛМН @ 25.02.2013 15:20)
помогло?

QUOTE(FTCODE_PR @ 25.02.2013 15:01)
Похоже что нет, просто стёрлись .FTCODE и файлы READ_ME_NOW.txt

Chemosh

Chemosh 1 марта 2013 19:51

Хорошо, что я не настолько глуп, чтобы открывать подозрительные письма и уж тем более запускать на исполнение вложения из них.

Mr.Smoll

Mr.Smoll 1 марта 2013 20:28

На форуме отписали, что письма выглядели вполне реально. Сообщение от профильной компании, с координатами, фио и прочим. Оформленное вполне цивильно.)

maksll

maksll 1 марта 2013 21:42

А песочница поможет?

Ololosha 1 марта 2013 23:04

Цитата: Mr.Smoll

Социальная инженерия. yes

З.Ы. А ты что делал с компьютером? Я? Да я ничего не делал, только в косынку играл... trollface

FirstAlex

FirstAlex 2 марта 2013 00:32

Это не вирус, а обычное вымогательство и мошенничество.
Сталкивался уже с этим. Атакуют только конторы.
На письмо ответили, что они честные люди и ни кого еще не кинули. Ржал два дня.
Сделал втык админу за разгельдяйство.

Vonisok

Vonisok 2 марта 2013 01:13

для нубов

kondor1986

kondor1986 4 марта 2013 19:41

Цитата: Cerber

так вот кто виноват taunt

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.