[QUOTE]
santy написал:
на xtbl не похоже:
судя по hex конечный блок повторяется во всех файлах с одним ID, за исключением заголовка файла.
6B00650079006700700067002E00720061007200000030303656474C50CC
9C69FB4CD37B6CC8B78E0CD4CCF10A0047351AEFFAC1C0E8A81390EE484
1 72438A41080000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAF
F 72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72
D 385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EF
D A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53
E 93D8D5579E22D3C6CDB2D113F693736A16000000
72006500610064006D0065002E00740078007400000030303656474C50CC
9C69FB4CD37B6CC8B78E0CD4CCF10A004735589FDEF8FF6105F8DAD13CA
7 4107F0DC070000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAF
F 72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72
D 385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EF
D A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53
E 93D8D5579E22D3C6CDB2D113F693736A16000000
69006E0066002E00740078007400000030303656474C50CC9C69FB4CD37B
6CC8B78E0CD4CCF10A004735AD2F9B44EB3C3BDDAB8EB04D3451DAB9090
0 00000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF72F767ED5C1
E 43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D385765735BA
6 118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFDA5736E16956
1 2402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E93D8D5579E2
2 D3C6CDB2D113F693736A10000000[/QUOTE]
попалось в сети:
Трояны-вымогатели (ransomware) типа KEYHolder, CryptoLocker и CryptoWall получили широкое распространение в последнее время. Некоторые из них сильно лажают в плане криптографии, так что файлы можно расшифровать без всякого выкупа.
Например, троян-вымогатель DirCrypt записывает ключ RC4 в конец каждого зашифрованного файла.
Очень похоже.
Кстати, в моих зашифрованных файлах тоже присутствуют одинаковые сигнатуры в конце.