OP> Признаки заражения: Файлы зашифрованы, дополнительное расширение - OP> *.oshit. Имеются текстовые файлы Razblokirovka_failov.txt с OP> требованиями. Контактные email'ы могут быть разными. OP> Информация по трояну: Trojan.Encoder.351. Появился 21.11.2013, OP> методы распространения HЕ ИЗВЕСТHЫ.
ICQ и Skype. Впрочем, придурков, которые ими пользуются, не жалко.
OP> Криптография: Однозначно AES-CTR128
Алгоритм называется Rijndael. И в варианте со счетчиком (CTR) вместо сцепления блоков (CBC) или обратной связи по шифротексту (CFB), да еще и с ключом длиной всего 128 бит - это говно на палочке, а не алгоритм шифрования.
OP> и SHA1, вероятно HMAC и еще что-то.
Это самое "еще что-то" - самый обычный RSA: открытый ключ хранится в заразе, секретный у создателей или заказчиков.
OP> Расшифровка с перебором будет занимать очень много времени: порядка 2 OP> месяцев на 4-ядерной машине.
Маловероятно, но если это действительно так - для небольшого кластера из относительно недорогих современных видеокарт это работа на несколько часов.
Антиоффтопик: через мой узел подобная хрень не пройдет :-)
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
