Тут парень расшифровал сам... но не все так просто..... вот текст...
Итак, как развивались события (опуская бесполезные методы и подходы )
Файл в составе вируса, создающий и удаляющий ключи - cde.cmd, из него нам интересно:
%SCV%%PRB%--import "%TEMP%\secrypt.cry"
%SCV%%PRB%--homedir "%TEMP%" --batch --gen-key genkey.cry
%SCV%%PRB%-r StyxKey --yes --trust-model always --no-verbose -q --encrypt-files "%TEMP%\secring.gpg"
...
move /y "%TEMP%\secring.gpg.gpg" "%TEMP%\secring.gpg"
RENAME "%TEMP%\secring.gpg" KEY.PRIVATE
т.е. ключ действительно создается каждый раз (--gen-key) и потом зашифровывается (--encrypt-files) уже безвозвратно.
secring.gpg после этого перезаписывается мусором и просто так его не востановить.
Файл genkey.cry удалось восстановить из удаленных (R-Studio или аналогичная). Его содержимое:
%pubring pubring.gpg
%secring secring.gpg
Key-Type: RSA
Key-Length: 1024
Name-Real: unstyx
Name-Comment: unstyx
Name-Email: unstyx@mail2tor.com
Expire-Date: 0
Passphrase: unstyx
Что сделал я:
1.Поставил себе gnupg (лучше бы наверное ту же верию 1.4, что и в вирусе, но поставил 2.2).
2.Сгенерил три пары ключей пользуясь genkey.cry как файлом параметров. Файл secring.gpg трижды оказался длиной 739 байт и вначале у каждого была сигнатура 0х95 0x01. Также в файле в открытом виде лежит email (unstyx@mail2tor.com).
3.Скачал disk editor, запустил поиск unstyx@mail2tor.com.
Оп-па, второе же вхождение имеет 0x95 0x01 вначале и окружено 0x00. Копируем этот блок в новый файл - 738 байт. Почти-почти, может версия играет роль 2.2 vs 1.4. Кладем файл под именем secring.gpg в каталог GnuPG.
gpg2 -K:
C:/Users/EWiZaRD/AppData/Roaming/gnupg/secring.gpg
------------------------------------------------------
sec 1024R/6C1328AF 2014-06-02
uid unstyx (unstyx) <unstyx@mail2tor.com>
Есть секретный ключ, мы уже рядом
gpg2 --output "1.rar" --decrypt "1.rar.unstyx@gmail_com"
вводим пароль (unstyx из genkey.cry) и ТА-ДА!
1.rar снова с нами.
Далее дело техники. unstyx.cmd:
@echo off
for %%I in (*.unstyx@gmail_com) do (
gpg2 --output "%%~nI" --decrypt "%%I"
del "%%I"
)
sweep unstyx и можно открывать шампанское, принесенное благодарным пользователем
P.S. добавлением всего двух команд в cde.cmd можно сделать так, чтобы этот и подобные подходы не сработали, но я не такой дурак, чтобы говорить об этом вслух ....
----------------------------
Вирус создает cptbase.cmd, в котором перечислены все файлы, что будут зашифрованы и начинает его выполнять.Код
Цитата
svchost.exe -r unstyx --yes --trust-model always --no-verbose -q --encrypt-files "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" & move /y "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls.gpg" "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" & RENAME "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" "Thread.xls.unstyx@gmail_com"
На том компе, что я смотрел, размер cptbase.cmd - 137 мегов
Вирус успел зашифровать все файлы на C: (>33000 файлов) и частично на USB диске, к счастью, не успев добраться до сетевого диска.