А в какой момент злоумышленник получает ключ?

А если провести анализ скрипта, который инициирует запуск шифрования? Вполне возможно, что ключи создаются с одним и тем же набором параметров, только идентификаторы присваиваются разные. Представим ситуацию : я зашифровал файл, а ключ потерял, разве нельзя его восстановить по тем данным, которые я использовал при создании утерянного?

Все таки ID ключа можно изменить или нет? Ведь можно данный ключ настраивать.

Хотелось бы сказать, что автор молодец, но испортил работу изрядно нам.

Спасибо! Получается, что на первоначально зараженном компьютере файлы secring.gpg и vaultkey.vlt были сначала перезаписаны в 0 а затем удалены. Восстановить их не возможно.   Интересно, а нельзя изменить ID ключа?

не находит :(. А если бы нашел, то как его достать?

Просто процедуру повторял несколько раз. Мне удалось поймать файл secring.gpg в нужный момент и расшифровать файлы.
При каждом запуске вируса создается ключ с уникальным ID

Спасибо за ответ! Да так и есть. Уже все понял. Данный файл я получил повторно заражая компьютер и в определенный момент выключив его. Теперь проблема как восстановить первоначальный secring.gpg

отправлено

[QUOTE]santy написал:
зашифрованных файлов много?

как вариант, установить GnuGPG, легальный пакет отсюда
[URL=ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe]ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe[/URL]
и использовать для расшифровки модуль gpg.exe с ключом дешифрования.
предварительно надо импортировать ваш секретный ключ

если файлов много, то конечно лучше использовать бат-декриптор, который должен обойти все каталоги с зашифрованными файлами и запускать команду дешифрования.
[CODE] импорт ключа
gpg.exe --import c:\ваш файл\secring.gpg

расшифровка документа
gpg.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files c:\ваш зашифрованный файл\документ.xls.vault [/CODE]если сами сможете написать батник, то надо все таки протестрировать команды, и убедиться что они расшифровывают документы.
его можно написать таким образом, чтобы расшифрованные файлы были помещены в тот же каталог, где лежит его аналог в зашифрованном виде.
вообщем написать нормальный бат-декриптор.[/QUOTE]
Добрый день! Постигла та же участь с зашифрованными файлами, но удалось вытащить файл secring.gpg ненулевой. Программа gnupg его импортирует и дает работать. Как теперь можно расшифровать файлы? Спасибо.