Se conosci gli algoritmi utilizzati, basta usarli in ordine inverso.
Visto che dici
ATOM-128 --> FERON-74 --> MEGAN-35 --> REVERSE --> RC4(OLOY)
allora la risposta dovrebbe essere, "applicare decrittografia RC4 usando 0L0Y come chiave, quindi invertire l'ordine dei byte, applicare la decodifica MEGAN-35 e così via. Ci sono diversi strumenti online che forniscono la crittografia pronta all'uso e decrittografia.
Esistono anche motori di ricerca che potrebbero trovare questa pagina per te.
L'URL riportato in quella pagina è
h**p://ge.tt/api/1/files/53H5HXx/0/blob?download
quali risposte,
HTTP/1.1 307 Temporary Redirect
set-cookie: session=0!%7B%22storage%22%3A%7B%22used%22%3A0%2C%22free%22%3A250000000%2C%22extra%22%3A0%2C%22limit%22%3A250000000%7D%2C%22accesstoken%22%3A%22a.0.anon-[...]%22%2C%22unread%22%3A0%2C%22downloads%22%3A0%2C%22files%22%3A0%2C%22created%22%3A1385503952%2C%22type%22%3A%22anon%22%2C%22userid%22%3A%22anon-; path=/;
set-cookie: anon=0!%7B%22userid%22%3A%22anon-[...]; expires=Tue, 10 Dec 2013 22:11:57 GMT; path=/;
location: http://w255582.open.ge.tt/1/files/53H5HXx/0/blob?referer=&user=anon-[...]-&download=
Connection: close
Seguendo il reindirizzamento, ottengo un altro reindirizzamento
HTTP/1.1 307 Temporary Redirect
location: http://w569658.blob2.ge.tt/streams/53H5HXx/Black%20puppet%20lite.rar?sig=[...]&type=download
connection: close
transfer-encoding: chunked
che scarica qualcosa chiamato "Black Puppet Lite", un archivio RAR
Attributes Size Date Time Name
----------- --------- -------- ----- ----
..A.... 494080 06-11-13 21:20 Black puppet lite/Black Puppet.exe
..A.... 17920 15-10-13 21:06 Black puppet lite/IconChanger.dll
..A.... 272896 25-08-13 13:23 Black puppet lite/Mono.Cecil.dll
...D... 0 06-11-13 21:22 Black puppet lite
----------- --------- -------- ----- ----
784896 4
Il file è già stato analizzato da VirusTotal il 2013-11-23 11:42: 31, quando è stato chiamato file-6246346.exe
. Il che fa tremare il mio ragno.
Un'analisi sandbox del file è qui . Apparentemente non fa nulla di male, o non fa niente troppo presto .
Le due DLL di accompagnamento (MonoCecil e IconChanger) apparentemente sono strumenti per manipolare i file eseguibili, cambiando i loro assiemi e icone - così, tra l'altro, permettendo loro di mascherarsi come qualcos'altro.
Il file è stato apparentemente sviluppato da qualcuno che si chiamava Shade , e l'eseguibile stesso ha riferimento a "Divine Miner", così come un copyright da Hewlett-Packard Company che è quasi certamente fasullo, dal momento che da nessuna parte in HP si può trovare un riferimento a burattini o minatori.
Le due parole, la sfumatura dell'articolo e i riferimenti alle funzioni crittografiche all'interno dell'eseguibile mi inducono a supporre che questa cosa sia una sorta di applicazione di burattini di schiavi bitcoin-mining.