Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

lockdir, RectorRSA, Xorist - Объединяемся в решении проблемы

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254

    lockdir, RectorRSA, Xorist - Объединяемся в решении проблемы

    Предлагаем всем участникам и гостям форума объединиться в решении проблемы с шифровальщиком файлов. Многие люди пишут нам, пытаются помочь кто чем может, и это просто здорово. В этой теме мы уже обсуждали одно решение проблемы.
    Сюда прошу писать всех людей, у кого есть идеи, решения и т.д. и т.п. Объединим все это в одно целое.

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    От себя ходу добавить, что годится любая помощь по следующим направлениям:

    1. Сбор информации о каналах заражения. Очень желательно конкретные письма, с заголовками. Мы их будем консолидировать и направлять антивирусным компаниям, чтобы блочили и присекали дальнейшее распространение этой заразы.

    2. Анализ шифровальщика, поиск "коротких" путей для расшифровки, написание деблокера.

    3. Распросранение информации о данной инициативе.


    Пишите любые свои мысли и идеи!
    Последний раз редактировалось Никита Соловьев; 30.05.2012 в 20:54.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  4. #3
    Junior Member Репутация Репутация
    Регистрация
    29.05.2012
    Сообщений
    6
    Вес репутации
    18
    каналов распространения есть несколько
    1) в теле эл.письма
    2) доступ к компу по рдп, радмину или иным способом.
    3) возможно есть и другие.
    действенный метод не допустить кодировку файлов - поместить в папки с ключевыми данными пустой файл с именем thumbs.ms дать ему атрибуты скрытый,системный,толькочтение и в случае нтфс убрать в безопасности все разрешения для всех. а дальше, думаю догадались, вирус не сможет создать в папке с этим файлом папку thumbs.ms и все останется на своем месте.
    у меня закодировалось несколько папок. выяснил - длина пароля 50 символов, 18 последних символов пароля удалось найти.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Кто-то пробовал обращаться в правоохранительные органы?
    Бизнес засранцев можно прикрыть как минимум.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  6. #5
    Junior Member Репутация Репутация
    Регистрация
    29.05.2012
    Сообщений
    6
    Вес репутации
    18
    есть еще один способ как обезопасить себя от ЛокДира
    1) в реестре в ветке H_C_U\Software создать раздел Lockdir (желательно это проделать для всех пользовательских веток реестра).
    2) забрать все разрешения к этому разделу.
    3) по желанию можно спрятать сам файл regedit.exe (это на случай если злоумышленник запускает локдир интерактивно - в теминальной сессии либо локально)
    проверено - локдир не сможет зашифровать данные

    *этот метод можно использовать совместно с приведенным мной на два поста выше

  7. #6
    Junior Member Репутация
    Регистрация
    28.11.2008
    Сообщений
    110
    Вес репутации
    30
    может кто напишет exe-шник для автоматизации вакцинирования

  8. #7
    Junior Member Репутация Репутация
    Регистрация
    29.05.2012
    Сообщений
    6
    Вес репутации
    18
    лови
    поменяй расширение на ехе
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    28.11.2008
    Сообщений
    110
    Вес репутации
    30
    что делает exe-шник

  10. #9
    Junior Member Репутация Репутация
    Регистрация
    05.02.2009
    Сообщений
    15
    Вес репутации
    30
    пробуйте nSWGs6sd$gs8as%s9mnsvnq3

    на самом деле программа lockdir - вполне легальная... http://kakasoft.com/folder-protect/index.html
    однако некоторые личности используют её в не совсем легальных целях

    один из вариантов "заражения" через удаленный рабочий стол (RDP) - используя подбор паролей!
    судя по сообщениям с проблемами 1С, это довольно популярный путь

    1.наведите порядок с паролями и доступами к серверу!
    2.смените порт 3389
    3.для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы...
    4.включить блокировку пользователя после 5 неудачных попыток входа на 30минут
    5. на русской win2k3 добавить пользователя administrator и заблокировать его

  11. #10
    Junior Member Репутация
    Регистрация
    04.06.2012
    Сообщений
    7
    Вес репутации
    17
    Цитата Сообщение от chas99 Посмотреть сообщение
    пробуйте nSWGs6sd$gs8as%s9mnsvnq3

    на самом деле программа lockdir - вполне легальная... http://kakasoft.com/folder-protect/index.html
    однако некоторые личности используют её в не совсем легальных целях

    один из вариантов "заражения" через удаленный рабочий стол (RDP) - используя подбор паролей!
    судя по сообщениям с проблемами 1С, это довольно популярный путь

    1.наведите порядок с паролями и доступами к серверу!
    2.смените порт 3389
    3.для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы...
    4.включить блокировку пользователя после 5 неудачных попыток входа на 30минут
    5. на русской win2k3 добавить пользователя administrator и заблокировать его
    Спасибо тебе, добрый человек. Пароль подошел. Уж и не знаю как благодарить.

  12. #11
    Junior Member Репутация Репутация
    Регистрация
    29.05.2012
    Сообщений
    6
    Вес репутации
    18
    "3. для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы..."
    *Эта программулина не совсем катит и вот почему: если в фильтре укажете диапазон локальных адресов, например 10.10.1.0-10.10.1.250, и у злолумышленника локальный адрес будет из того же диапазона, то прога его пропустит и он сможет логиниться. ПРОВЕРЕНО. будьте осторожны...

  13. #12

  14. #13
    Junior Member Репутация Репутация
    Регистрация
    05.02.2009
    Сообщений
    15
    Вес репутации
    30
    Цитата Сообщение от VdimGritsenko Посмотреть сообщение
    "3. для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы..."
    *Эта программулина не совсем катит и вот почему: если в фильтре укажете диапазон локальных адресов, например 10.10.1.0-10.10.1.250, и у злолумышленника локальный адрес будет из того же диапазона, то прога его пропустит и он сможет логиниться. ПРОВЕРЕНО. будьте осторожны...
    Для локальных адресов можно вместо ip адресов указать mac-сетевух

  15. #14
    Junior Member Репутация
    Регистрация
    06.06.2012
    Сообщений
    1
    Вес репутации
    17

    Некоторые соображения не тему вируса Trojan-Dropper.SIM.Reftar.a

    Здравствуйте. Возможно мое сообщение не совсем по теме (ибо я не про Lockdir пишу, а о другом вирусе, который не блокирует, а шифрует файлы и их невозможно открыть). Если не оффтопик - прошу, перенесите в нужное место. Информация в любом случае может оказаться для кого то полезной.
    В исследовании принимали участия:
    DJ BoB
    Коптева Юлия
    JohnDoe
    count0
    Vasko De Gama
    al_gov

    И так.

    Результаты исследования

    Доброго времени суток.

    Хочу поделиться своими (и не только) соображениями по поводу вируса который пришел
    на почту. В графе "От кого:" был указан отправитель "Сбербанк Онл@йн".
    В письме содержалось сообщение о задолжности и был прикреплен zip-файл
    в котором был запакован файл attachment.scr со значком WinRAR-а. После
    того как его открывает пользователь - вирус заражает все важные
    пользовательские файлы (dbf, jpg, doc, xls, html, htm, 7z, rar, zip и
    т. д.). При исследовании в HEX-редакторе зараженных файлов первый
    осмотр показал, что вирус заменяет во всех файлах в одних и тех же
    оффсетах (00000000; 00000400; 00000800; 00000С00 и 00001000) 5 байт
    информации на "88 88 88 88 88"
    В конец файла уже в ASCI он прописывает шестнадцетиричный код.
    Первоначально мне казалось, что это и есть те "вырезаные" куски по
    пять байт с описанием тех оффсетов, откуда они были вырезаны и
    зашифрованы по XOR-у и если его расшифровать то можно расслабившись
    писать дешифратор и все будет хорошо. Казалось бы - все очень просто!
    Особенно все достаточно просто в случаях с файлами doc и xls.
    Так как в оффсете 00000000 находится заголовок файла, то после
    заражения файл становится нечитабельным. И вот если в файлах doc или
    xls заменить эти 88 88 88 88 88 на заголовок с незараженного файла -
    файл откроется. Да, он немного будет поврежден, но незначительно. 2-4
    символа придется востанавливать уже непосредственно в ворде или
    экспеле. Однако такие вещи прокатывают только с doc и xls-овскими
    файлами. А вот к примеру у файлов формата dbf - заголовки разные
    везде. В формате jpg я тоже пробовал проделать такую штуку - не
    помогло. В случае с файломи rar - заголовок восстанавливал но из-за
    повреждения еще в 4-х оффсетах - один файл из архива все же не
    доставался. В случае с зипом - там вообще ничего не помогает. Решили
    заняться дешифровкой.

    Но когда никаких результатов не добились, JohnDoe предложил провести
    эксперемент. Я нарошно оставил файл с вирусом (attachment.scr) живым и
    перенес его на тестовую машину. Там я создал 4 файла doc-формата в
    OpenOffice-е: 1.doc; 2.doc; 3.doc; 4.doc
    Они полностью пустые, заполнены лишь заголовком и служебной
    информацией. Потом я открыл их в HEX-редакторе и в эти оффсеты вписал
    в первых двух файлах "00" (там где вирус оставляет после себя "88" а
    во вторых двух файлах вписал в тех же местах FF и запустил вирус. Как
    и ожидалось - вирус изменил в уже известных нам оффсетах оригинальную
    инфу на свои "88" и в конец добавил свой "хвост". Вирус лезит на все
    диски (включая сетевые, поэтому никакой антивирус его и не ловит) и
    убивает все на своем пути. Однако после
    подсказки все того же товарища заметили то, что замена 5 байтов в этих
    5ти оффсетах и добавления "хвоста" в конец файла - это не
    единственное, что происходит с файлом. Например перемена двордов
    местами, инкремент, декремент, какие-то смещения блоков. Там по куче
    смещений такое впечатление просто сделано inc(байт) или inc(слово) или
    inc(dword). Например по смещению 1E78 - там целый блок изменен с 1e78
    по 1f30. 1e38 - 1e60 - просто затерт блок.
    0674 - два dword'a поменяны местами и второй декрементнут
    0680 - снова два дворда поменяны но второй инкрементнут
    (все это говорится о файлах которые лежат в линке ниже)
    У него в коде какой-то жосткий алгоритм замены. Так что эту фигню при
    желании можно ревертнуть. Даже противодебаггерная фигня внутри есть.
    Запуск вируса в ollydbg приводит к появлению окошек о работе под
    дебаггером, возможно это криптор или упаковщик. Вот такие на данный
    момент результаты самостоятельного исследования. Надеюсь, они будут
    полезны в изучении и создании дешифратора для этого вируса.

    Ах, да. Каспер 6-й его не видит. Мы как раз были в процессе преехода
    на KES 8. Он его видит и на файл attachment.scr сразу же ругается,
    пишет, что мол: алярма! вирус:

    троянская программа HEUR:Trojan.Win32.Generic \\centos\inbound\Temp\вирус\Attachment.scr
    троянская программа Trojan-Dropper.SIM.Reftar.a \\centos\inbound\Temp\вирус\Attachment.scr//info

    Ниже, приведен линк на rar-архив. В нем следующие файлы: 1.doc; 2.doc;
    3.doc; 4.doc в разных папках:
    \edited\
    \infected\
    \original\

    Соответственно в папке edited - оригинальные файлы, которые я открыл
    НЕХ-редактором и в заражаемых вирусом местах (о которых я писал выше)
    - прописал нули (в 1.doc и 2.doc) и FF (в 3.doc и 4.doc
    соответственно). Ну а соответственно в папке original - оригиналы
    файлов (на самом деле просто пустой файл формата doc созданый
    OpenOffice-ом и сохраненным в формате doc). Ну и как не трудно
    догадаться - в папке infeсted эти же файлы только уже зараженные
    (после того как я на тестовой тачке запустил вирус). Сам вирус
    находится в корне архива. Файл называется Attachment.txt .
    Переименовал что-б случайно не запустить на рабочей машинке.

    http://db.tt/U5cdiYKW (сокращенная ссылка на dropbox)

    Надеюсь эти данные будут полезны.
    Скрыть
    Изображения Изображения
    Последний раз редактировалось thyrex; 07.06.2012 в 23:03.

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    DJ_BoB

    Мои замечания на Ваш опус
    1. После запуска SIM-архива из него извлекаются три файла: собственно шифровальщик, воровайка паролей от онлайн сервисов, безобидный файл Excel (пока Вы его просматриваете Вас шифруют)
    2. Шифровальщик использует библиотеку для работы с длинными числами FGInt и тупо перебирает файлы с подходящими расширениями на всех дисках
    3. В конец испорченного файла дописывается информация необходимая для восстановления чаще всего (зависит от размера файла) 5 блоков по 10 байт, хотя вирус подменяет чаще всего только первые 5 байт в каждом блоке, причем есть варианты не только с 88
    4. Сам файл шифровальщика накрыт защитой Obsidium
    Последний раз редактировалось thyrex; 08.06.2012 в 11:29.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Смотрю я на список кодов здесь http://virusinfo.info/showthread.php?t=120806 и возникает очень много вопросов.

    Самый главный из них - очень уж они разные. Есть только числовые, короткие. А есть длинные, которые содержат даже кириллицу.

    Коды или показывают нам эволюцию малвары или же они от разных ее типов. Можно ли как-то классифицировать их?
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  18. Ilya Shabanov получил(а) благодарность за это сообщение от


  19. #17
    Junior Member Репутация
    Регистрация
    03.06.2012
    Сообщений
    1
    Вес репутации
    17
    Интересно, а есть ли способ борьбы с этой спам-рассылкой активными методами, а не только защищаясь? Я так думаю мошенникам ничего не стоит вносить изменения в свой малварь, и новый дешифратор тут же станет бесполезным. Как остановить именно рассылку, а не просто устранять последствия заражения?

  20. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,456
    Вес репутации
    2914
    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    Смотрю я на список
    Когда пароли были короткие, их можно было подобрать. Авторы это просекли (мониторя форумы) и, естественно, увеличили его длину, а потом и вовсе стали использовать не только цифры и латиницу, но и другие символы. Вот и все объяснение
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. thyrex получил(а) 2 благодарностей за это сообщение от


  22. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Остановить можно - написать заяву в полицию, возбудят дело и будут шансы выловить мерзавцев. Наша полиция в лице Управления К иногда это умеет делать
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  23. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,437
    Вес репутации
    904
    Странная нерешительность у наших людей. Если бы каждый пострадавший обратился куда следует, думаю, вопрос давно бы был решён.

  24. Никита Соловьев получил(а) благодарность за это сообщение от


Страница 1 из 2 12 Последняя

Похожие темы

  1. Вниманию пользователей, пострадавших от lockdir.exe
    От olejah в разделе Шифровальщики
    Ответов: 381
    Последнее сообщение: 28.11.2016, 11:38
  2. Trojan-ranson.win32.xorist.xorist.gu
    От Слава Красник в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 10.04.2012, 20:27
  3. Ответов: 12
    Последнее сообщение: 15.03.2012, 17:48
  4. Помогите в решении проблемы
    От nowik в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 10.11.2010, 23:13
  5. 2 проблемы помогите пожалуйста в их решении
    От Артемий в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 24.07.2009, 10:39

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00298 seconds with 29 queries