# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Старый знакомый, создающий архивы .raR

## thyrex

Хочу сразу предупредить, что по сравнению с предыдущей  версией особых изменений нет, поэтому распишу просто назначение используемых компонентов вируса, которые по прежнему извлекаются в папку *c:\tmp*.

Итак, что мы имеем в этот раз.

*Примеры тем*
http://virusinfo.info/showthread.php?t=164018
http://virusinfo.info/showthread.php?t=164034
http://virusinfo.info/showthread.php?t=164059

*Механизм распространения*: остался прежним – вложение (дроппер) к электронному письму.

*Известные имена дроппера*



> Исковое заявление поданное в суд.cmd – просто переименованный самораспаковывающийся архив, который Лаборатория Касперского детектирует, как *Trojan-Ransom.Win32.Agent.icz* (*Trojan.Encoder.556* по DrWeb)


*Шифруемые файлы* (на всех логических дисках, список расширений находится в файле *shapka*)

Скрытый текст
.jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.tif.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb.xml.XML.xls.XLS.dwg.DWG.mdf.MDF.mdb.MDB.zip.ZIP.rar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db.adp.ADP.wdb.pdm.PDM.ppt.crw.dxg.ptx.pst.raf.pdd.mdf.srw.raw.mcdСкрыть


Для работы вирус использует консольную версию архиватора WinRar 5.0

Послание от авторов записывается в файлы с именем *!Фaйлы зaшифpовaны.txT* следующего содержания

Скрытый текст
 сли всe фaйлы зaшифpoвaны и файлы превратились в rAR архивы, то стоимость pacшифpовки 10.000 рyблей.
Для того, чтобы расшифровать файлы пришлите на указанный ниже e-mail два файла.
1) В каждой директории содержится файл !password    , пришлите его
2) Один любой зашифрованый файл небольшого размера (с расширением raR)
Файлов !password может быть несколько в одной директории, тогда присылайте все
Обратно Вам придет расшифрованный файл и инструкция по оплате. Расшифрованный файл является
подтверждением того, что возможно расшифровать все данные.

После оплаты Вам придет пароль на архивы и программа-расшифровщик, которая расшифрует все файлы.
Файл !password     содержит непонятные для Вас символы. Не удаляйте его. Без данных йероглифов расшифровка невозможна.
Данные йерогливы - это зашифрованный текст в котором хранится Ваш пароль.

e-mail для связи: [email protected]

Ответ на Ваше письмо придет в течение 1-24 часов.

Если Вам не приходит ответ больше 24 часов - отправьте свой e-mail для связи (без отправки файлов) на адрес
[email protected]
Вам придет письмо с инструкциейСкрыть


Теперь о компонентах.


Подробности работы z.exe

1. Запускает файл *hel.exe*.
2. Если файл *symbol.thy* существует, завершает свою работу.
3. Если файл *symbol.thy* не существует, то запускается файл *!!.cmd*.
4. Спустя 5 секунд происходит чтение содержимого symbol.thy (о нем ниже).
5. Оно склеивается со строками *rr* и *.exe*, после чего запускается файл с полученным таким хитрым способом именемСкрыть



Подробности работы hel.exe

Вся роль этого файла сводится к выводу липового сообщения об ошибке Winword



> Ошибка в файле или файл испорчен


Скрыть



Подробности работы !!.cmd

Создает файл *symbol.thy*, в который записывает символ *r*, как признак уже запущенного шифровальщика.
Скрыть



Подробности работы rrr.exe

Запускает на выполнение файл *c:\tmp\genr.cmd*
Скрыть



Подробности работы genr.cmd

Поочередно запускает файлы *genpwd*, *genhex*, *genrsa*, *moar*. О работе каждого из них ниже по тексту.Скрыть



Подробности работы genpwd.exe

1. C задержкой в 2014 мс получает 16 значений координат курсора мыши.
2. Записывает полученную инфоррмацию длиной 32 байта в файл *thy*Скрыть



Подробности работы genhex.exe

1. Читает содержимое файла *thy* в память.
2. Побайтно переводит каждый символ в его 16-тиричное представление.
3. Сохраняет полученный результат (уже 64 байта) в тот же самый файл.
Скрыть



Подробности работы genrsa.exe

1. Запускает процесс *ssencrypt.exe public.key thy*, который шифрует содержимое файла с паролем по алгоритму RSA публичным ключем из файла *public.key*.
Зашифрованный пароль хранится в файле *thy.ss*Скрыть



Содержимое public.key
 (17910768364673292624001632093766971184119837896417476551621722375756212896353886605642567689374959979953915750386222420733301077090425377061153752575248253307859580940331503521521810991863609819870524084704752475460332380433158568013039126847439785477173695901094666468834302981425770833495400436917939316529180010970577698299883748002821650476982575530623933656088795032070102914171728737400031463660084568185641965322579763805189363490630183362454513920274048777721518199596975778117938904006251199037371944876548721674714422844147384764698332406459027474368796311471648395785164971583301918303790633525726012322727,65537)Скрыть



Подробности работы moar.exe

1. Происходит чтение в память содержимого *thy*, после чего файл перезаписывается мусором, усекается до нулевой длины и удаляется.
2. С использованием счетчика времени работы системы генерируется новое имя файла для хранения зашифрованного пароля архивирования. Файл имеет вид *!password* + *ХХХХХ* (где *ХХХХХ* – символы, полученные на основании значения счетчика).
3. Дополнительно выделяется область памяти в 1048576 байт (заполнена, конечно же, символами с кодом 0).
4. Происходит поиск и архивирование файлов
4.1 Происходит чтение из файла shapka попадающих под архивацию расширений файлов
4.2 Генерируется и запускается на выполнение команда архивирования, которая слегка отличается от предыдущей версии (отсутствует ключ *-dw*)


```
rar.exe a -ep1 -p<ключ> <имя.raR> <имя>
```

где
*а* – добавить в архив
*-ep1* – исключить базовую папку из пути
4.3 Оригинальный файл забивается символами из выделенной области памяти, усекается до нулевого размера и удаляется.
4.4 В папку с заархивированным файлом сохраняется сообщение вымогателя.
4.5 Сюда же копируется содержимое файла *thy.ss*Скрыть


*Оценка возможности разархивирования*:
- возможна:
  -- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы *moar.exe* пароль;
  -- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;

- невозможна:
 -- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем; 
 -- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.

----------

*Никита Соловьев*,  *mike 1*,  *olejah*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Баклажан

Добрый день!

Словил этот вирус.
Возможно глупый вопрос: есть ли шанс подобрать пароль, есть сохранились оригиналы заархивированных файлов (в резервной копии)?

----------


## thyrex

Оригиналы ничем не помогут

----------


## alex1650

А есть ли возможность расшифровать файл с паролем?
Какой программой? Скриптом?
Я понимаю что возможно. Интересуют временные затраты и чем именно и как расшифровывать.

----------


## thyrex

Почитайте про RSA-шифрование, посмотрите длину публичного ключа, сам ключ и предложите быстрый способ его факторизации на два простых числа. Вопросы отпадут сами собой  :Smiley:

----------


## Константин 1981

Что делать с файлами и как избавится от вируса?

----------


## thyrex

> как избавится от вируса?


Он тихо-мирно лежит себе в указанной в первом сообщении папке. Даже в автозагрузку при старте не прописывается




> Что делать с файлами


1. Удалить, если они не нужны
2. Восстановить из резервных копий, если они есть и находятся на носителях, не подключенных к компьютеру в момент шифрования
3. Перебирать пароли (и жизни может не хватить)
4. Обращаться к злоумышленникам

Увы

----------


## Константин 1981

Понял. Как его удалить из этой паки. Прогнал в безопасном режиме Вашими программами и Нодом. Пишут что нет вирусов на компьютере. Можно на нем работать?

----------


## thyrex

Просто удалите эту папку

----------


## alex1650

А уверены что способ распространения вложением?
Я перерыл весь архив с входящей почтой и не нашёл писем со странным вложением за период активности вируса.
Единственное что нашёл - это письмо-спам с ссылкой по которой перешёл пользователь. Подозрение только на это...

----------


## thyrex

У кого-то вложение, у кого-то ссылка. Смотрите примеры тем в первом сообщении

----------


## Константин 1981

> Просто удалите эту папку


Спасибо. Ребята из Касперского просят собрать и отправить им какие-то Логи, я проследовал инструкции -запустил три программы Rectodekriptor,Xorisdecriptor и Virus removal. Появился ождин отчет, я его прикрепил и отправил. Где брать эти логи и как они выглядят? И вообще надо ли париться если никто не дешифрует обратно файлы? Я честно говоря туповат в этой всей програмной начинке

----------


## thyrex

> я проследовал инструкции -запустил три программы Rectodekriptor,Xorisdecriptor


Байки не рассказывайте. Ни в одних правилах сбора логов на форумах, оказывающих помощь в избавлении последствий вирусов, нет подобного

----------


## Константин 1981

> Байки не рассказывайте. Ни в одних правилах сбора логов на форумах, оказывающих помощь в избавлении последствий вирусов, нет подобного


 я ж говорю не очень понимаю

- - - Добавлено - - -

Расшифрование возможно или нет

----------


## thyrex

Прочитать первое сообщение темы, в которой пишете, тоже не в состоянии? Там ясно написано, при каких условиях возможна помощь. Кроме того, прочтите про длину пароля и соотнесите это с условиями возможной помощи - и сами ответите на свой вопрос

----------


## regist

Также рекомендую почитать эту статью http://virusinfo.info/showthread.php?t=164586  возможно поможет получить нужный ключ для расшифровки.

----------


## nip

Добрый день!

Нашел папку C:/tmp в которой находятся все перечисленные в первом посте файлы, удалил. На диске D:/ файлы с именем начинающимся на shapka тоже есть. Но они находятся не в папке tmp, а в директории D:\Программа\ВходящиеДокументы\Базы и называются shapka.dbf, shapka.FPT, shapkaxx.dbf, shapkaxx.FPT, sh_pok.CDX, sh_pok.dbf, sh_pok.fpt. Вопрос, могут ли эти файлы относиться к обозначенной заразе и, соответственно, стоит ли их удалять??
Спасибо!

----------


## thyrex

Не относятся

----------


## vertuanna

Добрый день!
Есть новости по этому вирусу?

----------


## thyrex

Каких новостей Вы ожидаете?

----------


## vertuanna

Жду, может кто смог расшифровать, а я пропустила эту информацию

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thyrex

Ждите дальше  :Smiley:

----------


## Unknuser

Не уверен, что пишу в правильную тему, может стоило создать новую...
Сотрудник словил похожую дрянь. Шифрует файлы в .RAr
если я правильно догадался - пароль шифруется PGP и содержится в сообщении от вымогателей.
Судя по всему алгоритм генерации пароля какой-то новый, т.к. antihack_v3 не помог  :Sad: 
Работа вируса была оборвана (завершён сеанс пользователя на терминальнике), но к сожалению, он успел зашифровать несколько файлов, куда сотрудник ошибочно имел доступ и которые не резервировались.
Часть файлов вируса сохранилось. может ли это как-то помочь расшифровке?
К сожалению, само письмо, в котором пришёл дроппер - удалено. Но есть кое-что интересное:
Вот откуда закачиваются файлы шифратора:
[cuted]
Эти данные выцарапал из того, что осталось в папке шифровальщика...

UPD: прошу прощения, не подумал, что кто-то может заразиться.  В общем у есть ссылки на заразу.

----------


## TheBars

Всем привет! На почту пришло письмо с вложением,там оказался вирус который зашифровал файлы в .RAr
Пробовали расшифровать antihack_v3 не помогло.Может кто поможет с расшифровкой?
P.S.могу прислать файл архива вложения.

----------


## Unknuser

> Всем привет! На почту пришло письмо с вложением,там оказался вирус который зашифровал файлы в .RAr
> Пробовали расшифровать antihack_v3 не помогло.Может кто поможет с расшифровкой?
> P.S.могу прислать файл архива вложения.


На диске "С" создалась папка "wintemp_" с кучкой файлов и в том числе с файлом morjik ?

----------


## TheBars

Да.

----------


## Unknuser

Собрат по несчастью...

----------

