Давайте думать вместе.

RSS
Давайте думать вместе.

Вот шифрованный файл: http://s-file.ru/files/phpavuWS6.xtbl (оригинальное имя rd+xai+z6ph4YbvNzCcK+eZgVzSxIHduxYT3k+jHvW8=.xtbl)
Вот дешифрованный: http://s-file.ru/files/php79oPaI.jpg (оригинальное имя CSC_0034.JPG)

Вот - "сигнатура", которая в README.TXT : CF4116649E5FC6B85CAF|0

"Шифровальщики" в течении 3 минут прислали дешифрованный файл.

ЗЫ. Кстати, все имена файлов JPG оканчиваются на =.

PSPS. Кстати, размеры файлов НЕ ОТЛИЧАЮТСЯ.
Изменено: Александр Учватов - 20.02.2015 19:08:31

Ответы

идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
Цитата
santy написал:
идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12
Да, немного отличаются, а на третий и т.д. разы вы не пробовали?
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
Цитата
santy написал:
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
Ясно, но это идентификатор ключа, а Вы не пробовали отловить рекомендованной программой сам ключ?
пока нет возможности проводить новые тесты по xtbl
Не нужно выкладывать вирусы на форуме, для этого есть специальная форма.

Файл  отправлен в вирлаб...
Thank you for your submission.
The detection for this threat will be included in our next signature update, expected version: 12065.

1.exe - Win32/Filecoder.NEQ trojan
хороший обзор по шифратору xtbl
https://securelist.ru/analysis/obzor/26790/shifrovalshhik-shade-dvojnaya-ugroza/
Читают тему (гостей: 1)