Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.
так же инструкция в архиве для оффлайна: manual.zip
если кто-то что-то захочет дополнить - пишите.
Если кто-то может оформить данный скрипт в более удобную утилиту - добро пожаловать.
СДЕЛАЙТЕ КОПИЮ ЗАШИФРОВАННЫХ ФАЙЛОВ. ОБЯЗАТЕЛЬНО. ПРИ МАЛЕЙШЕЙ ОШИБКЕ ВСЕ БУДЕТ ПОТЕРЯНО. ЭТО НИ РАЗУ НЕ ШУТКА. ВСЕ ДЕЙСТВИЯ НА ВАШ СТРАХ И РИСК – ПОСЛЕДСТВИЯ НИЖЕУКАЗАННЫХ ДЕЙСТВИЙ МОГУТ БЫТЬ НЕОБРАТИМЫ.
Для запуска на зашифрованном компьютере должен быть установлен PowerShell. Если это Windows 7, обычно он там уже есть. Для Windows XP можно скачать здесь. Также должен быть разрешён запуск скриптов. Чтобы разрешить запуск скриптов – надо запустить «пуск – все программы – стандартные – windows powershell - Windows PowerShell ISE» и выполнить команду: set-executionpolicy bypass
Далее: копируете код который в конце и вставляете в пустой файл в блокноте. Сохраняете. Потом переименовываете - расширение должно быть "ps1". И открываете в powershell.
Или копируете прямо в powershell, кому как удобнее.
Если расшифровку производите на том же компьютере, на котором все зашифровалось – просто запускаете выполнение скрипта и ждете (если документов много – ждете долго). Хотя я бы посоветовал в любом случае сделать действия, как если расшифровка будет на другом компьютере.
Если расшифровку производите на другом компьютере (или виртуальной машине), куда скопировали зашифрованные данные – надо предварительно НА ТОМ КОМПЬЮТЕРЕ, ЧТО ПОСТРАДАЛ, сделать следующее:
Скопировать нижеуказанный код в powershell или открыть сделанный вами файл .ps1,
стать левой кнопкой мыши в начало строки 3, как указано на рисунке:
Потом запустить скрипт, выполнение остановится как раз на строке 3, надо подвести курсор мыши на переменную $ek во второй строке, вылезет ее текущее значение, например:
Потом нажать SHIFT+F5 и после этого CTRL+SHIFT+F9.
Теперь идем на тот компьютер (виртуальную машину), где будем все расшифровывать, запускаем powershell, открываем наш код и первую строку, которая имеет вид
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вчера получилось, указанным способом расшифровать файлы, автору спасибо. Единственное, что UUID узнавал повершелом, так проще, тут написал как: http://forum.kaspersky.com/index.php...&#entry1981036
Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили. Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).
Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили. Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).
В лаборатории Веба тоже подтверждают, что невозможно дешифровать зашифрованные rsa1024 без наличия трояна..
к сожалению, он самоликвидировался
СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!!
СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!! У меня тоже получилось с помощиью скрипта раскодировать свои файлы.
Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.
Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
Пишите на [email protected]
Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
Пишите на [email protected]
спасибо!
я боюсь, что нужен именно тот, закодировавший конкретно мои файлы. Так как код шифрования, заключенный в нем, или же механизм (увы, я не знаю, как именно устроен вирус) может быть отличный от вашего..
Вы запускали утилиту на зараженной машине?
Есть ли среди пошифрованных файлов jpg, docx, xlsx, pptx, zip файлы? Если нет, то утилита не определит ключ автоматически - в таком случае (если Вы уверены, что машина точно та), надо запустить "XoristDecryptor.exe -becodec"
Если надо запустить расшифровку на другой машине (должен быть известен UUID машины, где произошло заражение), то утилиту следует запустить так: "XoristDecryptor.exe -becodep UUID"
Последний раз редактировалось Юрий Паршин; 08.02.2013 в 17:26.
Сейчас попробовал с написанным доп. ключом -becodep UUID плюс он при запуске обновился вроде - получилось. Да и все время лечил с зараженного компа.
Ура - Люди у НАС есть Таблетка от ".BMCODE" от Касперского.
Спасибо!!!
Вирус, кстати, до сих пор не удалял. Как это сделать? Запустить Каспера в максимальном режиме проверки? Я пока так не делал, т.к. на сайте и они не рекомендуют удалять вирус, чтобы потом можно было найти таблетку. Раз нашли, теперь что мне делать???
А вирусом является только сам файл *.hta ? (в моем случае Благодарственное письмо.hta)
Больше ничего? Или он потом заставил куда-то еще скачаться какие-то файлы из инета или просто что-то кроме документов еще испортил на компе?
.hta-файл не нужен абсолютно. Я расшифровывал свои данные на своем компьютере на переустановленной системе (не хотелось морочиться с отловом вредоноса; переустановилоперационку с нуля) и все получилось. Действовал строго по моей инструкции.
СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!!
Действовал согласно инструкции. Правда, на пострадавшем компьютере сначала было заблокирована запись на внешнюю флешку, так как хотел скопировать вредоносный файл. После прогона AVZ4, который успешно нашел и снял некоторые блокировки, запись на флешку восстановилась. После этого скачал PowerShell 2.0 (с отладчиком) для работы на Windows XP с сайта Microsoft. В отладчике работать проще. На пострадавшем компьютере выполнил отдельно первые 2 команды (что бы не заморачиваться с остановами, так как опыта работы с PowerShell не было). Посмотрел и записал код пострадавшего компьютера. Скопировал часть зашифрованных папок на "чистый" компьютер и проверил скрипт расшифровки. ВСЕ ПОЛУЧИЛОСЬ. После этого запустил скрипт на пострадавшем (сильно) компьютере и после, примерно, 2-х с половиной часов ВСЕ ПОЛНОСТЬЮ ВОССТАНОВИЛОСЬ (и файлы DOC,JPG,XLS и т.п и т.д. Правда файлы LNK (ярлыки) на рабочем столе не восстановились, но это уже мелочи).
ЕЩЁ РАЗ ОГРОМНОЕ СПАСИБО ВСЕМ. Потому что платить "компьютерным террористам" не правильно. А совместными усилиями оказывается можно побеждать. Благодарен сайту VIRUSINFO за оперативную помощь и возможность общения. Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.