На днях один мой товарищ получил электронное письмо с вложением. Во вложении был файл с расширением *.doc.js, который, был запущен и, конечно же, оказался вирусом. Вирус чем-то похож на
описанный в этой статье, но все же это не он. Судя по содержимому этого скрипта и других файлов относящихся к вирусу, этот вирус работает так:
1. Скачивает необходимые файлы. Среди них есть программа gpg.exe (в оригинале svchost.exe), библиотека iconv.dll к ней, какая-то база trustdb.gpg к ней же и необходимые скрипты для командной строки.
2. Затем с помощью скачанных скриптов формирует ключи и список файлов, которые нужно зашифровать.
3. Шифрует файлы на компьютере с помощью gpg.exe и переименовывает их добавляя email.
Это мне удалось понять, после того как я проглядел скрипты вируса. Положил iconv.dll, trustdb.gpg и gpg.exe в одну папку и попытался расшифровать изменив оригинальную команду из скрипта cptbase.cmd:
svchost.exe -r unstyx --yes --trust-model always --no-verbose -q --decrypt-files "100_4863.jpg.unstyx@gmail_com"
Конечно же, ничего из этого не вышло и я получил ошибку
gpg: decryption failed: secret key not available.
Догадываюсь, что ему нужно подсунуть ключ, а ключ можно вычислить по скриптам вируса. Но тут мне уже не хватает знаний и опыта. Подскажите, пожалуйста, что делать дальше, чтобы восстановить зашифрованные файлы?
Все добытые файлы в архиве выгрузил
сюда. Разумеется, надо быть крайне осторожным открывая файлы этого архива. Пароль от архива - 12345.
Простой
