Без участия пользователя не запустится. Так что будьте внимательны получая ссылки от непроверенных источников. КАк это работает:
1) генерирует пароль из 50 знаков.
2) шифрует его с помощью ключа RSA-1024 и отдает его в файл (остается в каждой папке) (этот пароль без 2-го ключа не расшифровать, а он у мошенника)
3) далее этим паролем (используя его как Passphrase) шифрует все файлы компа.
function Encrypt-File($item, $Passphrase) { $salt="FTCODE hack your system"; $init="FUCKING INIT"; $r = new-Object System.Security.Cryptography.RijndaelManaged; $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase); $salt = [Text.Encoding]::UTF8.GetBytes($salt); $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32); $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15]; $r.Padding="Zeros"; $r.Mode="CBC"; $c = $r.CreateEncryptor(); $ms = new-Object IO.MemoryStream; $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"W rite"; $cs.Write($item, 0,$item.Length); $cs.Close(); $ms.Close(); $r.Clear(); return $ms.ToArray(); }4) на раб. столе появляется текстовый файл read_me_now. Текст может быть разный, вот пример
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрованас помощью самого криптостойкого алгоритма в мире RSA1024.Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимоПерейти зайти на страницу в интернете по адресу http://bit.ly/11Uql6s и следовать инструкциямЕсли ссылка выше не работает перейдите по резервным адресам http://unblock.i2p.to или http://bit.ly/VIertWПри попытке расшифровки без нашей программы файлы могут повредиться!НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!в некоторых письмах даже указывают ценник.
Если же всё же поймали сифак, и он закодил важные данные вот способ (win7):
1) Прогнала компьютер через все доступные мне антивирусы какие только могла: Avira, AVG, Dr.Web, Norton и т.д. Нашел пару вирусов, удалил. 2) У меня стоит семерка, не знаю как такое сделать на xp к сожалению. Вручную переименовываете нужный вам файл, удаляете .FTCODE в конце. На сообщение винды жмете ОК. Затем заходите в свойства этого файла - вкладка Предыдущие версии, там должна быть ранее созданная версия этого файла, как правило не так давно созданная, зависит от файла я думаю. Если там есть версия с датой ранее той, когда вы поймали вирус, смело выбираете ее, жмете восстановить и файл открывается.
А ещё можно просто откатить винду на денёк назад через восстановление системы. (проверено)
Топик на касперсокм
Топик на ноде
