bartwell
@bartwell

Вирус с GPG-шифрованием

На днях один мой товарищ получил электронное письмо с вложением. Во вложении был файл с расширением *.doc.js, который, был запущен и, конечно же, оказался вирусом. Вирус чем-то похож на описанный в этой статье, но все же это не он. Судя по содержимому этого скрипта и других файлов относящихся к вирусу, этот вирус работает так:
1. Скачивает необходимые файлы. Среди них есть программа gpg.exe (в оригинале svchost.exe), библиотека iconv.dll к ней, какая-то база trustdb.gpg к ней же и необходимые скрипты для командной строки.
2. Затем с помощью скачанных скриптов формирует ключи и список файлов, которые нужно зашифровать.
3. Шифрует файлы на компьютере с помощью gpg.exe и переименовывает их добавляя email.

Это мне удалось понять, после того как я проглядел скрипты вируса. Положил iconv.dll, trustdb.gpg и gpg.exe в одну папку и попытался расшифровать изменив оригинальную команду из скрипта cptbase.cmd:
svchost.exe -r unstyx --yes --trust-model always --no-verbose -q --decrypt-files "100_4863.jpg.unstyx@gmail_com"

Конечно же, ничего из этого не вышло и я получил ошибку gpg: decryption failed: secret key not available.

Догадываюсь, что ему нужно подсунуть ключ, а ключ можно вычислить по скриптам вируса. Но тут мне уже не хватает знаний и опыта. Подскажите, пожалуйста, что делать дальше, чтобы восстановить зашифрованные файлы?

Все добытые файлы в архиве выгрузил сюда. Разумеется, надо быть крайне осторожным открывая файлы этого архива. Пароль от архива - 12345.
  • Вопрос задан
  • 3476 просмотров
Пригласить эксперта
Ответы на вопрос 1
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы