# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Очередная напасть - файлы упакованы в rAr-архивы

## thyrex

Спустя месяц после предыдущего варианта компьютеры пользователей подверглись очередной напасти. Правда в этот раз файлы не шифруются в прямом смысле этого слова, а упаковываются в *rAr*-архивы с паролем

*Примеры тем*
http://virusinfo.info/showthread.php?t=160858
http://virusinfo.info/showthread.php?t=160892
http://virusinfo.info/showthread.php?t=160934

*Механизм распространения*: вложение (дроппер) к электронному письму

*Известные имена дроппера*



> Копия искового заявления в суд ответчику.cmd - просто переименованный самораспаковывающийся архив
> https://www.virustotal.com/ru/file/7...f845/analysis/


*Шифруемые файлы* (на всех логических дисках)



> .ppt*, .jpg, .jpe*, .doc*, .txt, .pdf, .tif, .dbf, .eps, .psd, .rar, .wbd, .cdr, .zip, .psb, .ptx, .tst, .mrh, .dbk, .4db, .sps, .mbd, .wps, .raw, .dxb, .pek, .mov, .vob, .xls*, .dwg, .cpp, .xml, .dxg, .pdm, .epf, .erf, .grs, .geo, .vrp, .yml, .mdb, .mdf, .1cd, .tar, .cdx, .dxg, .odt, .obd, .wps, .pst, .rtf, .odb, .slx


После запуска в папке *c:\tmp* появляется все необходимое для шифрования
Для работы вирус использует консольную версию архиватора WinRar 5.0

В каждой папке создается файл с именем *!!!Фaйлы зaшифpoвaнны!!!.txt* следующего содержания (пример)

Скрытый текст
Все файлы Вашего компьютера зашифрованы архиватором Rar 5.0 с паролем.
 Современный уровень развития компьютерной криптографии позволяет создать
 код, которым можно зашифровать файлы данных, а также зашифровать сам код, 
 для того, чтобы передать его со 100% гарантией надежности от 
 несанкционированного использования. В подтверждение этого Вы получили по 
 эллектронной почте письмо, вложение которого зашифровало все Ваши файлы. 
 При архивировании происходит шифрование данных алгоритмом AES. Взломать 
 такой алгоритм невозможно. Таким образом, нет смысла обращаться за помощью, 
 кроме автора данного шифра. Вы потеряете время и деньги.
 Существуют другие разновидности подобных программ, которые расшифровывают
 антивирусные компании, но в данном случае это просто невозможно.
 Для того, чтобы разархировать данные - нужно приобрести пароль. Стоимость
 пароля 10.000 рублей. Вместе с паролем прилагается программа, которая
 расшифрует все файлы за Вас автоматически.
 E-mail для связи: [email protected]
 В конце данного сообщения содержится текст из набора символов. Это Ваш 
 пароль в зашифрованном виде. Не удаляйте данный файл, поскольку в ином
 случае восстановить данные будет невозможно. Для надежности данный файл
 находится во всех директориях, где имеются зашифрованные файлы.
 Пришлите нам этот файл (который Вы сейчас читаете) и один зашифрованный 
 файл (небольшого размера) - мы его Вам расшифруем. Один расшифрованный файл 
 мы высылаем для подтверждения того, что Вы разговариваете с владельцем ключа
 шифрования и расшифровать Ваши данные вполне реально. Также, Вам будет 
 выслана инструкция по оплате. После оплаты Вы получите пароль и программу, 
 которая автоматически расшифрует все зашифрованные файлы (имея пароль можно
 разархивировать (расшифровать) все данные и вручную, без нашей программы).
 Имейте в виду, больше никто в мире не сможет расшифровать данные, поскольку
 пароль на архивы зашифрован алгоритмом RSA. Архивы RAR с паролем еще никто
 не взломал. 
 Если Вам не приходит ответ долгое время, возможно, наш ответ мог попасть в 
 папку СПАМ Вашего почтового ящика. Посмотрите там. 
 Если наша почта не отвечает, возможно, наш почтовый ящик перестал работать. 
 Мы предусмотрели второй способ связи. 
 1) Зайдите на сайт www.bitmsg.me 
 2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин, 
 e-mail и пароль (пароль вводится два раза для подтверждения правильности
 ввода). 
 3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
 для подтверждение регистрации.
 4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки - 
 нажмите кнопку Create random address. Все, вы можете отправить нам сообшение. 
 Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому) 
 укажите наш контактный адрес: BM-2cWkTNu9iFXi2Dw5oQAUAwK6E2pKTRea9t
 Укажите тему сообщения и пишите сообщение. Потом нажимаете кнопку Send Message
 (послать сообщение). Когда Вам придет ответ - его можно прочитать, нажав сверху 
 кнопку Inbox и нажав на тему сообшения. Ответ придет в течение 1-24 часов.
 1Ke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Скрыть


А теперь немного о работе вируса.


Подробности
После запуска дроппера, извлечения компонентов стартует *zap.exe*. Он в свою очередь запускает driver.bat


```
@ECHO OFF
start "" "strt.exe"
PING -n 75 -w 1000 127.0.0.1 > nul
echo moar.exe>>system
```

На экран выводится сообщение якобы об ошибке Microsoft Word



> Ошибка в файле или файл испорчен


Это развод (инициатор - файл *strt.exe*). После задержки в 75 секунд, создается файл *system*, в который записывается строка 


> moar.exe


Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла *testz*. Если его нет, он создается. Происходит чтение содержимого файла *system*, в результате которого запускается файл *moar.exe*, который и вполняет основную работу.

В файл *psystem* первоначально записывается сгенерированный на основе счетчика времени работы системы 64-байтный пароль для архивирования. Этот же ключ во время работы программы хранится в памяти. 

Происходит поиск подходящих для архивирования файлов. Запуск архивации происходит следующим образом


```
rar.exe a -ep1 -dw -p<ключ> <имя.rAr> <имя>
```

где
*а* - добавить в архив
*-ep1* - исключить базовую папку из пути
*-dw*  - стереть исходный файл
Остальное, я думаю, понятно и так

После этого ключ шифруется с использованием алгоритма RSA и содержимого файла 
public.cod
public mod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
public key=932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD989A4EE1739A0465ECD709C392C20A70F14DA22A197999F0347BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22BAB68BCEDСкрыть

 и записывается в файл key (если он уже существует, этот шаг пропускается; если не существует, то преобразованный ключ записывается и в файл *psystem*, затирая в нем исходный ключ шифрования).  

В папке с заархивированным файлом создается файл с сообщением вымогателя, в конец которого записывается зашифрованный ключ (причем никакой проверки на наличие файла с сообщением не происходит, и он создается каждый раз заново)Скрыть


*Оценка возможности дешифровки*:
- возможна:
  -- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс шифрования, выдрать из памяти программы ключ;
  -- если антивирусные компании ЗАХОТЯТ заниматься простым перебором ключей;

- невозможна:
 -- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом; 
 -- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.

P.S. Первоначально, когда впервые стали появляться темы с этой напастью, вирус детектировался Лабораторией Касперского как *not-a-virus:RiskTool.Win32.Crypter.hq* (Virustotal отжигает старым детектом  :Smiley: ) Теперь детект обновили до *Trojan-Ransom.Win32.Agent.icj*

----------

*Никита Соловьев*,  *mike 1*,  *olejah*,  Vinny_B

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shukriezis

Не ну это все понятно, а что теперь делать? платить деньги злоумышленнику?

----------


## probel1986

Да очень печально , два юриста просто потеряли свои файлы практически за 2 года работы , очень ждем решения , вся надежда только на вас VIRUSINFO !!!! :Smiley:

----------


## Vinny_B

на счет случая: http://virusinfo.info/showthread.php?t=160891
пришлось заплатить, ибо время - еще бОльшие деньги.
прислали пароль: 04i582JnN4XMNV3X7Q1e65q2Amrr0o0KT673ic0N0K05MP0LS3  qY2988d5Q64uHT
для нашего случая пароль подходит.

Также прислали архив с двумя программами (ссылку на архив если надо - вышлю админам, вдруг будет полезно) и сопроводили его следующим письмом

Скрытый текст



> kopiruete faili moar.exe i rar.exe v lubuu directoriu.
> zapuskaete moar.exe
> 
> na ekran nichego ne vvivoditsya vobshe (neuspeli napisat).
> zapustite. programma vse rasshifruet i sama vigruzitsya.
> 
> chto programma rabotaet - nazhmite ctrl+alt+del -> zapustit dispetcher
> zadach -> vkladka processi.
> 
> ...


Скрыть

----------


## Никита Соловьев

> Не ну это все понятно, а что теперь делать? платить деньги злоумышленнику?


Делать резервную копию важных файлов. Золотое правило, особенно сейчас, когда разнообразие шифрующих троянских программ столь велико.

А если проблема уже настигла вас, ждать. Помощь с нашей стороны будет только в том случае, если будет найден ключ, что представляет собой порой невыполнимую задачу.

----------


## thyrex

> ссылку на архив если надо - вышлю админам


Вышлите. Если получится, и мне на почту отправьте

- - - Добавлено - - -




> очень ждем решения , вся надежда только на вас VIRUSINFO !!!!


Если вирлабы не станут заниматься этим, то чем могут помочь такие же простые пользователи, как и Вы? Даже для брутфорса "влоб" требуется очень мощная машина

----------


## stack515

> - невозможна:
>  -- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом; 
>  -- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.


Есть небольшое дополнение. Можно найти решение в случае когда вирус закончил действие. Для этого надо определить какое значение функции GetTickCount было в момент запуска. Эта задача имеет решение (точно для Win7):
1. Ищем ПЕРВЫЙ зараженный файл на ВСЕХ дисках. Очень важно найти именно первый файл!!! Записываем дату и время. Отнимаем около 3-4 минут - это теоретическое время запуска вируса.
2. Идем в Панель управления - администрирование - просмотр событий - система. Там каждый день около 12 часов дня (вроде и при запуске винды тоже) делается запись о времени работы системы. Отсюда мы узнаем значение GetTickCount (правда в секундах) на время записи этого лога.
logs.PNG
3. Зная эти факты можно вычислить значение GetTickCount при активации вируса, точнее интервал в 3 - 5 минут.
4. Немного математики: 5 минут это всего 300 000 значений GetTickCount, а значит пароля.


Так мы восстановили два компа за 3 дня.

----------


## thyrex

*stack515*, наверное, Вы мне об этом писали еще по предыдущей версии. Да, конечно, этот способ сократит время перебора, но пригоден для *ПРОДВИНУТЫХ* пользователей, коих, к сожалению, подавляющее меньшинство

----------


## stack515

*thyrex*, возможно Вам писал мой коллега. Согласен, что этот способ подходит для продвинутых. Может я, конечно, оптимист, но мне казалось что у многих есть продвинутые друзья, которые зная эти подсказки могут попробовать.

PS: В процессе борьбы с этой заразой мы создали "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени. Если кому нужно - могу выложить. Мы для перебора вариантов использовали тот же rar.exe, которым файлы шифровались, но есть гипотеза о том, что сгенерированные "утилитой" ключи можно подсунуть как словарь в ломалки RARов. Возможно это будет в разы быстрее.

----------


## thyrex

> Панель управления - администрирование - просмотр событий - система


На Windows XP такого, к сожалению, не нашел (именно время работы системы)




> у многих есть продвинутые друзья, которые зная эти подсказки могут попробовать.


Думаю, что и таких меньшинство подавляющее




> мы создали "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени


У меня тоже был идея что-либо подобное написать. Но пока просто нестал заморачиваться. Потому если нетрудно,  можете прислать мне на почту (попробуйте средствами форума, если нет, напишите администратору с пометкой переслать мне) программу, созданную вами. А если и исходники приложите,будет вообще замечательно

----------


## stack515

> На Windows XP такого, к сожалению, не нашел (именно время работы системы)


Да, но многие люди особенно в организациях выключаю компы на ночь. В этом случае можно и на XP попробовать восстановить. Кстати с W7 есть один неприятный момент: если комп спит, то счетчик, который пишется в логи - не идет, а GetTickCount идет. На моем ноутбуке расхождение в два раза по этим параметрам. В этом случае из лога нужно брать первую запись из той загрузочной сессии в которой было заражение. Тогда все сходится.




> У меня тоже был идея что-либо подобное написать. Но пока просто нестал заморачиваться. Потому если нетрудно,  можете прислать мне на почту (попробуйте средствами форума, если нет, напишите администратору с пометкой переслать мне) программу, созданную вами. А если и исходники приложите,будет вообще замечательно


Я отправил. Там еще объяснение принципа работы "утилиты".

----------


## stack515

> У меня тоже был идея что-либо подобное написать. Но пока просто нестал заморачиваться. Потому если нетрудно,  можете прислать мне на почту (попробуйте средствами форума, если нет, напишите администратору с пометкой переслать мне) программу, созданную вами. А если и исходники приложите,будет вообще замечательно


Я отправил Вам на почту. Если не пришло - напишите, я повторю...

----------


## thyrex

Получил. Уже и свой генератор ключей написал

----------


## Mag1str0

Ребят, а можно и мне генератор ключей пожалуйста

----------


## stack515

*Mag1str0*, Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)

От этих факторов зависят шансы.

- - - Добавлено - - -




> Получил. Уже и свой генератор ключей написал


Круто! А если не секрет, Вы алгоритм генерации исследовали? Я просто хотел исследовать, но не было времени, поэтому и решил изменить готовый код чтобы из вируса его превратить в генератор ключей. Получилось очень эффективно.

----------


## Shukriezis

Файлы восстановили, путем оплаты создателю вируса, очень важная деталь, вирус если несколько раз запустить он будет архивировать уже за архивированные файлы и уже с другим паролем, будет намного сложнее их восстановить, да и при распаковке будет две копии файлов. Мне было прислано несколько программ _ для распаковки с одним паролем, для распаковки с другим паролем, для распаковки с одним и вторым паролем, и программа для удаления всех архивов созданными этой программой. Вот так.
Да и на одном сетевом диске не хватило места для распаковки файлов, теперь придется освободить место и их распаковывать. Это тоже небольшая проблема.

----------


## vaflamex

Тоже хотелось бы получить генератор.
1. Win7
2. В сон не уходит
3. На ночь выключается. При чем в день заражения получилось так, что компьютер выключили еще во время работы вируса - не успел все диски прогнать.
4. Можно попробовать, есть время получения "искового" письма, попробую поискать первый файл.

----------


## Shukriezis

осторожнее с поиском, возможен второй запуск программы )))

----------


## Mag1str0

[QUOTE=stack515;1124382]*Mag1str0*, Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)

От этих факторов зависят шансы.

1. Ось Win7x64
2. Не уходит в сон
3. Не выключается, рабочий компьютер работает 24\7
4.к сожалению нет.
Самое худшее в том, что это подхватил пользователь, и эта зараза поползла на примапленые сетевые диски, и там нагадила.
локальные диски в порядке, там ничего не архивировалось

----------


## stack515

> Тоже хотелось бы получить генератор.
> 1. Win7
> 2. В сон не уходит
> 3. На ночь выключается. При чем в день заражения получилось так, что компьютер выключили еще во время работы вируса - не успел все диски прогнать.
> 4. Можно попробовать, есть время получения "искового" письма, попробую поискать первый файл.


Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?

----------


## Mag1str0

> Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?


Возможность есть.
опыта пока нет

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## stack515

[QUOTE=Mag1str0;1124398]


> *Mag1str0*, Для начала надо немного информации:
> 1. Какая ОС?
> 2. Уходит ли компьютер/ноутбук в сон?
> 3. Выключается ли на ночь?
> 4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)
> 
> От этих факторов зависят шансы.
> 
> 1. Ось Win7x64
> ...


Тогда другие вопросы: Если комп работает 24/7, то давно ли была последняя перезагрузка? по вопросу "4" почему нет? Выполнить поиск всех ".rAr" на всех примапленных дисках и упорядочить по дате создания. Ну и последний вопрос: утилита выдаст много паролей... очень много... 300-400 тысяч. Есть возможность перебрать такое количество?

- - - Добавлено - - -




> Возможность есть.
> опыта пока нет


Отлично!!!! Тогда расскажу как делал я - надеюсь Вам удастся повторить. Ждите - обязательно сегодня напишу!!!

----------


## Mag1str0

Спасибо.
Буду ждать

----------


## AlexSv

Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat  но txt остались и еще несколько файлов оставил). Все заразить не успел.

----------


## vaflamex

> Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?


Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.

----------


## stack515

> Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.


Мы делали так: в папку с кучей файлов-паролей копируем: rar.exe и любой зашифрованный файл, который переименовываем в 1.rar

Создаем файл _rar.cmd

rar.exe e 1.rar -p%1 >nul
if errorlevel 1 goto m1
echo %1>_passw.txt
:m1

Смысл этого файла такой: если пароль подставленный как аргумент _rar.cmd подходит, то создается файл _passw с этим паролем

Далее создаем _start.cmd

echo start >_start.txt
for %%i in (*) do call _rar.cmd %%i

Это пробегает по всем файлам в папке и подставляет их имена (которые является паролями) в _rar.cmd

Для ускорения процесса мы  делили содержимое папки с файлами-паролями на несколько папок и процедуру проделывали в каждой одновременно.

- - - Добавлено - - -




> Тоже хотелось бы получить генератор.
> 1. WinХР
> 2. перегружали
> 3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat  но txt остались и еще несколько файлов оставил). Все заразить не успел.


С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).

----------


## tandem532

Уважаемый stack515, Помогите плз с генератором. у меня win7 32 , дату заражения и первый закодированый файл вычислил, заранее спасибо за помощь

----------


## thyrex

> Его надо искать на всех дисках!!! Особенно на сетевых и сменных.


Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов




> Вы алгоритм генерации исследовали?


Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса  :Smiley: 

А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл

----------


## AlexSv

> С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).


Время запуска(перезагрузки) есть с точностью +-1 минута

и вот что от виря осталось
Новый рисунок.jpg

----------


## crypts

Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?

----------


## stack515

> Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов


Полностью согласен. У нас на зараженных компах был как раз примонтирован диск Z. Он пострадал больше всего. Но это спасло много файлов в локальных документах (на двух из трех компов).




> Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса


Ага.. тут плюсов много. В том числе крайне малая вероятность переврать алгоритм.




> А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл


Во... это как раз хорошо для прог которые по словарю брутфорсят. Я же сейчас пошел немного по другому пути: я сделал пакет из CMD и EXE фалов... Получился такой полуавтоматический ремкомплект )))))))))

- - - Добавлено - - -




> Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?


Вот именно поэтому есть шансы!!!!

----------


## xsystem

stack515, можете дать "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени.

----------


## stack515

Всем доброго дня! "Утилита" работает стабильно.

Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
2. Мощный комп (желательно игровой комп или сервак)

Архив надо распаковать на мощный комп. Далее ОБЯЗАТЕЛЬНО прочитать файл ЧИТАТЬ.PDF.  Читать внимательно, стараясь понимать зачем нужна каждая цифра! Процесс не быстрый, а результат зависит только от того, правильно ли Вы задали параметры. НЕ НАДО СЧИТАТЬ ЭТУ УТИЛИТУ ПАНАЦЕЕЙ!!!

Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.

----------


## crypts

Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.

----------


## stack515

> Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.


Для этого вируса не стоит... Достаточно одного компа на Core i7 или сервака на Ксеонах

----------


## tandem532

Воспользовался методом уважаемого stack515. Все делалось на Core i7 диапазон задал 120с (+/-60), пароль определился примерно через 50-60 минут. Главное правильно задать исходные параметры.
Спасибо автору метода.

----------


## vaflamex

> 1. Находим ПЕРВЫЙ запакованный файл. Для этого можно воспользоваться
> РЕГИСТРОЗАВИСИМЫМ поиском с маской "*.rAr", затем упорядочиваем по дате и находим 
> первый. !!! Но, есть способ проще: Вирус записывает себя в с:\tmp, можно посмотреть дату 
> и время создания файла KEY !!!


Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.

----------


## simofor

генератор рабочий! 
*stack515*, спасибо!
PS.на ксеоне подобрал за 25 мин в 5 потоков, диапазон - 120с

----------


## tandem532

> Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.


Надо брать время файла key

----------


## stack515

Всем кто использует мой пакет для перебора: Для заполнения графы "Дата первого файла" в расчете НАМНОГО ЛУЧШЕ использовать дату и время файла KEY. Это ближе к реальному времени запуска вируса и легче находить!!!

----------


## thyrex

Интервал времени для поиска находится между временем создания файлов *system* и *key*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## stack515

> Интервал времени для поиска находится между временем создания файлов *system* и *key*


Хм.... а ведь точно! Мало того, это время скорее даже ближе к *system*. Я запускал moar.exe на core i5, при этом *key* сформировался только через 30 секунд.

----------


## Ziroy

Всем доброго! 
Ранее оставленная ссылка на скачивание: 

(_Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
...
Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь._)

выдала "битый" архив, т.е. распаковывает с ошибкой, результат - отсутствие keygens.exe ... а спустя пару часов, решил заново скачать архив, но при обращении к ресурсу dl.dropbox.com выдает "The resource could not be found".
Прошу Вас, Уважаемые форумчане, у кого есть архив сего - залейте на куда-нибудь для скачивания ... 
Пожалуйста!

----------


## Ziroy

Доброго Вам! Вышлите и мне, пожалуйста, на почту созданную Вами программу. Заранее благодарю.

----------


## vaflamex

Огромнейшее спасибо за утилиту, помогла избавиться от вирусняка!!!!

- - - Добавлено - - -

*Ziroy*, Сейчас проверил - нормально скачивает по старой ссылке. А файла keygens.exe в архиве и не было у меня. Прочитайте внимательно pdf файл в архиве - там подробно по шагам расписано, что нужно делать.

----------


## stack515

*vaflamex*, Рад что, тех, кто справился становится все больше!!!

- - - Добавлено - - -

*Ziroy*, В архиве должны быть следующие файлы:

*antihack.exe
core
_.cmd
_bforce.cmd
_clear.cmd
_rar.cmd
_rar.exe
_start.cmd
ЧИТАТЬ!!!.pdf
*
PS: Бывает, что c dropbox не скачать, но это временное явление, которое быстро проходит...

----------


## bond84

Уважаемый *stack515*, спасибо большое за утилиту.
Одна большая просьба, не могли бы вы выложить модификацию генератора паролей, который бы заливал их в один файл, каждый пароль с новой строки?

На офисных компьютерах скорость перебора из консольных утилит довольно мала, в то время как некоторые профессиональные утилиты, типа Advanced Archive Password Recovery Professional, обещают скорость перебора по словарю до 2000 паролей в секунду.

Думаю, многие были бы вам признательны. На прочесывание диапазона в 5 минут у меня ушли сутки, пароль пока не подобрал.

----------


## stack515

> Уважаемый *stack515*, спасибо большое за утилиту.
> Одна большая просьба, не могли бы вы выложить модификацию генератора паролей, который бы заливал их в один файл, каждый пароль с новой строки?
> 
> На офисных компьютерах скорость перебора из консольных утилит довольно мала, в то время как некоторые профессиональные утилиты, типа Advanced Archive Password Recovery Professional, обещают скорость перебора по словарю до 2000 паролей в секунду.
> 
> Думаю, многие были бы вам признательны. На прочесывание диапазона в 5 минут у меня ушли сутки, пароль пока не подобрал.


У *thyrex* как я понимаю, есть своя версия генератора, которая как раз отлично подходит для Вашего случая. Я, к сожалению, могу только предложить слить это огромное число файлов при помощи bat файла, а это тоже не сильно быстро. Попросите, пожалуйста, уважаемого *thyrex* поделиться своей версией.

Если же все-таки что-то не будет получаться - я адаптирую свою утилиту под Ваш случай, но она все-равно сначала наплодит файлов, а потом сольет их в один словарь. ИМХО генератор от *thyrex* Вам более подходит.

----------


## bond84

Уважаемый *thyrex*, поделитесь пожалуйста Вашей версией генератора  :SOS: 

- - - Добавлено - - -




> У *thyrex* как я понимаю, есть своя версия генератора, которая как раз отлично подходит для Вашего случая. Я, к сожалению, могу только предложить слить это огромное число файлов при помощи bat файла, а это тоже не сильно быстро. Попросите, пожалуйста, уважаемого *thyrex* поделиться своей версией.


Был бы признателен пока и вашему предложению сливающего бат-файла, мне кажется процесс слития должен быть  в разы быстрее перебора, учитывая что всё будет выполняться на уровне системных команд, а не внешних процессов, типа _rar.

- - - Добавлено - - -

*stack515*, это удивительно, но именно в эти минуты Вашей утилитой подобрал пароль  :Smiley: 
Большое спасибо еще раз за проделанную работу и пользу для человечества!

----------


## thyrex

> при этом *key* сформировался только через 30 секунд


Все дело в том, что этот файл появляется после первого найденного подходящего файла для архивирования




> Уважаемый *thyrex*, поделитесь пожалуйста Вашей версией генератора


Если еще актуально, то ближе к вечеру (по моему времени) попробую выложить

----------


## bond84

> Если еще актуально, то ближе к вечеру (по моему времени) попробую выложить


Мне уже не актуально, но думаю другим пользователям будет полезно, для возможности увеличения скорости перебора.

----------


## stack515

> Все дело в том, что этот файл появляется после первого найденного подходящего файла для архивирования


Так глубоко я не копал. )))) Думал что это время работы bm.cmd...




> Если еще актуально, то ближе к вечеру (по моему времени) попробую выложить


*thyrex*,  выложите, пожалуйста, в любом случае. Тем, кто будет пользовать софт для подбора пароля по словарю будет актуально.

- - - Добавлено - - -




> stack515, это удивительно, но именно в эти минуты Вашей утилитой подобрал пароль 
> Большое спасибо еще раз за проделанную работу и пользу для человечества!


Рад, что у Вас все благополучно завершилось!

----------


## thyrex

> Думал что это время работы bm.cmd


Так оно и есть. Но запускается он именно в том случае, о котором я писал




> выложите, пожалуйста, в любом случае


http://rghost.ru/56339500
Писалось на коленке, потому и названия компонентов не менялись (уж не обессудьте  :Smiley: )

Пользоваться просто: задаем начальное значение счетчика (первое окно ввода), конечное значение (второе окно ввода), нажимаем кнопку. В нижнем окне видим прогресс (т.е. значение, для которого сейчас генерируется ключ).

После завершения ключи сохраняются в файл вида *<нач_знач>-<кон_знач>*.txt в папке с программой

P.S. Помните, что слишком большой диапазон задавать не стоит. Во-первых, это увеличивает время работы, во-вторых, размер файла с ключами получится большим

----------

*mike 1*,  *olejah*,  stack515

----------


## stack515

> Так оно и есть. Но запускается он именно в том случае, о котором я писал


Вообще странное программное решение

----------


## icon80

Добрый день!
Помогите пожалуйста настроить генератор товарища *stack515*.
У меня вин хп, в папке c:/tmp посмотрел дату файла *key*, Дата в логах винды есть тоже, это время включения компа я так понял... А вот время работы в сек. в логах нет, как его высчитать или где посмотреть подскажите пожалуйста.

----------


## stack515

> Добрый день!
> Помогите пожалуйста настроить генератор товарища *stack515*.
> У меня вин хп, в папке c:/tmp посмотрел дату файла *key*, Дата в логах винды есть тоже, это время включения компа я так понял... А вот время работы в сек. в логах нет, как его высчитать или где посмотреть подскажите пожалуйста.


с WinXP все плохо!!! Но попробовать всегда можно. Для этого ответьте на вопросы:
1. Выключается ли компьютер на ночь? Точнее так: В день заражения компьютер был включен или работал до этого несколько дней подряд? 
2. Не входит ли компьютер в сон?

Для XP важно найти точное время запуска той загрузочной сессии в которой было заражение. Например, в том же журнале, тем же точно способом можно постараться найти время запуска службы журнала событий.
xp.png
Это время использовать в качестве "Даты в логах". Время работы поставить 20 сек. При этом я крайне не советую делать интервал меньше. Скорее наоборот... Если не получится или будут вопросы - пишите в тему.

----------


## icon80

> с WinXP все плохо!!! Но попробовать всегда можно. Для этого ответьте на вопросы:
> 1. Выключается ли компьютер на ночь? Точнее так: В день заражения компьютер был включен или работал до этого несколько дней подряд? 
> 2. Не входит ли компьютер в сон?
> 
> Для XP важно найти точное время запуска той загрузочной сессии в которой было заражение. Например, в том же журнале, тем же точно способом можно постараться найти время запуска службы журнала событий.
> xp.png
> Это время использовать в качестве "Даты в логах". Время работы поставить 20 сек. При этом я крайне не советую делать интервал меньше. Скорее наоборот... Если не получится или будут вопросы - пишите в тему.


1. Компьютер выключается на ночь, это офисный комп, есть в  логах время сессии как у тебя на скрине (дата и время).
2. Комп не засыпает, человек приходит в 9 утра включает компьютер, работает и в 6-7 вечера его выключает.

Время в логах системы 9.18 утра, время файла key - 13.19. Надо рассчитать сколько секунд работал комп с момента включения до начала работы вируса или как?

и зазор перед и зазор после что ставить?

----------


## stack515

*icon80*, еще, пожалуйста, посмотрите разницу между временем создания файлов key и system (не путать с psystem) и напишите эту разницу сюда.

- - - Добавлено - - -




> 1. Компьютер выключается на ночь, это офисный комп, есть в  логах время сессии как у тебя на скрине (дата и время).
> 2. Комп не засыпает, человек приходит в 9 утра включает компьютер, работает и в 6-7 вечера его выключает.


Это очень хорошо для этого случая! Шансы есть.




> Время в логах системы 9.18 утра, время файла key - 13.19. Надо рассчитать сколько секунд работал комп с момента включения до начала работы вируса или как?


Это утилита сама рассчитывает. Итак я бы внес:
Дата в логах: дд.мм.гггг 09:18:00
Время работы: 20 (если комп шустрый - можно 10)
Дата первого файла: дд.мм.гггг 13:19:00
где дд.мм.гггг - дата (указывать ОБЯЗАТЕЛЬНО)

----------


## icon80

попутал немного время,
файл key - 13:44
файл system - 13:43

комп не очень шустрый, офисный ), сервак пока не могу загружать, оставлю на выходные на подбор его просто...

----------


## stack515

> попутал немного время,
> файл key - 13:44
> файл system - 13:43
> 
> комп не очень шустрый, офисный ), сервак пока не могу загружать, оставлю на выходные на подбор его просто...


Ага.. все нормально. Можно попробовать "зазоры" оставить как есть 240 и 60 (ну или 300 и 80 раз все-равно Вы хотите на несколько дней оставить). Но на офисном компе подбирать будет долго....

Ну а время первого файла любое из двух 13:43 или 13:44 (или взять среднее).

- - - Добавлено - - -

*icon80*, Для XP я на скорую руку написал прогу для определения значения "времени работоспособного состояния" при старте винды. 

Всем у кото WinXP:

*=== Это только для WinXP!!! === Это только для WinXP!!! ===* 
1. Скачиваем прогу: http://dl.dropbox.com/u/1407012/gettc.zip
2. Загружаем или перезагружаем (желательно) ТОТ КОМП НА КОТОРОМ БЫЛО ЗАРАЖЕНИЕ.
3. Запускаем на НЕМ прогу.
4. При старте появится окно:
calc.PNG
5. После запуска верхние два поля заполнятся автоматом. В третье надо внести дату и время запуска "службы журнала событий" из журнала винды. Вводить полностью: дд.мм.гггг чч:мм:сс
xp.png
6. Затем нажать "Рассчитать время". 
7. В самом нижнем окне появится значение, которое я бы рекомендовал вставлять в качестве времени работы в генератор паролей. *Для XP* ориентировочно это число может быть от 5 до 200 сек. Если Вы получили тысячи - скорее всего это не верно
*=== Это только для WinXP!!! === Это только для WinXP!!! ===*

----------


## icon80

у меня -88095 получилось...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## stack515

> у меня -88095 получилось...


В *этот* калькулятор (*только в этот*) надо вводить текущие значения. То есть если Вы запускаете его сейчас, то надо в логах найти дату и время сегодняшнего последнего запуска.

А вот в генератор паролей - все как обычно, все как я писал до этого...

----------


## icon80

Спс большое за помощь! получилось 21, зарядил на выходные, надеюсь все получится.

----------


## stack515

> Спс большое за помощь! получилось 21, зарядил на выходные, надеюсь все получится.


Ну вот как раз, как я писал до этого, что можно было просто забить туда число 20 )))) Если не затруднит, напишите, пожалуйста, еще разок с какими параметрами запускали генератор паролей.

----------


## icon80

Дата в логах - указал дату и время с секундами, которое было указано в логе евент.
Время работы - 21 сек
Дата первого файла - указал время создания файла key, папка system была с таким же временем, только секунды другие чуть.
Зазор перед - 300
Зазор после - 80

----------


## stack515

> Дата в логах - указал дату и время с секундами, которое было указано в логе евент.


Дату и время в день заражения!... так?

PS: Я просто хочу быть уверенным, что все правильно... в XP получается более запутанный процесс...

----------


## icon80

Да, дату в день заражения ставил.

----------


## stack515

> Да, дату в день заражения ставил.


Тогда все должно получиться!

----------


## thyrex

Время создания файла _system_ - 21.03.57
Время *создания* файла _psystem_ - 21.04.18
Навскидку получается, что время до начала генерации пароля не превышает 20 секунд (и это даже с избытком)

Так что диапазон перебора не так уж и велик

- - - Добавлено - - -

Похоже, что на семерке и выше время запуска службы  журнала событий можно увидеть точно так же, как и в Хрюше
Панель управления - Администрирование - Просмотр событий

----------


## stack515

> Время создания файла _system_ - 21.03.57
> Время *создания* файла _psystem_ - 21.04.18
> Навскидку получается, что время до начала генерации пароля не превышает 20 секунд (и это даже с избытком)
> Так что диапазон перебора не так уж и велик


Не факт. Содержимое *psystem* замещается содержимым файла *key*... не и дата/время в этом случае такие же как и у *key*. Файл *key* появляется после нахождения первого пригодного для архивирования файла. А этот файл может быть найден и через 40 сек, если машина слабая + на таких компах время генерации *key* может быть больше. Так что интервал *system* *psystem* может быть разным. Я вроде у себя на компах все стер, так что не могу посмотреть как у меня было.




> Похоже, что на семерке и выше время запуска службы  журнала событий можно увидеть точно так же, как и в Хрюше
> Панель управления - Администрирование - Просмотр событий


Да, конечно, в w7 совершенно точно есть время запуска EventLog. Только вот этот способ менее точный. Вернее сказать - этот способ ужасно не точный, потому что в этой записи нет времени работы!!! Вот пара примеров:
1. WinXP, celeron: 21 сек в момент запуска EventLog
2. W7 (core i7, мой ноут): 114 сек в момент запуска EventLog
3. W7 (core i5, один из рабочих компов): 17 сек в момент запуска EventLog
ну и тд. Разница большая. Так что в W7 точнее основным методом считать.

----------


## thyrex

> Не факт


 :Smiley: 
Я же написал



> Время *создания*


, а не замещения другим содержимым

----------


## stack515

> Я же написал
> , а не замещения другим содержимым


а.... извини, не внимательно прочел  :Smiley:  Тогда вообще все просто: psystem создается точно в момент запуска moar.exe - проверено, так как у меня весь keygen на этом основан  :Smiley:  Там же сразу на Entry Point: Взять getTickCount, затем сгенерить пароль, затем создать psystem. Так что время создания psystem можно считать временем запуска moar.exe... с одним, НО. Оно будет до секунд...

----------


## thyrex

Это понятно. Уходит время загрузку, генерацию пароля, сохранение. Потому я и писал, что промежуток с избытком составляет 20 секунд, а это всего 20000 мс (паролей). Вся загвоздка в более-менее точном определении начального значения счетчика

----------


## stack515

> Это понятно. Уходит время загрузку, генерацию пароля, сохранение. Потому я и писал, что промежуток с избытком составляет 20 секунд, а это всего 20000 мс (паролей). Вся загвоздка в более-менее точном определении начального значения счетчика


Это да... вот тут как раз спасает W7 где в логах есть таймстемп и соответствующее ему время работы. Некоторые участники этой темы ставили интервал +/- 60 сек и быстро находили свои пароли. Как я понимаю - это те, у кого W7. С XP дела чуть хуже.

----------


## thyrex

С XP я предполагаю интервал до записи события о запуске службы логирования - до 30 секунд. У меня от 25 до 27 где-то идет

----------


## stack515

> С XP я предполагаю интервал до записи события о запуске службы логирования - до 30 секунд. У меня от 25 до 27 где-то идет


Согласен! Среднестатистически это около 25 сек... и на W7 и на XP. У меня на ноуте просто стоит огромное количество разработческого и тестового софта. Поэтому, не смотря на  core i7 и 8 гигов памяти грузится он до запуска EventLog около 2 минут.

В сообщении #60 я давал ссылку на прогу, которая позволяет определить хотя бы примерно эту цифру. Актуально только для XP, но я запускал на своей W7 и результаты совпали с событием 6013 при запуске винды.

----------


## nedes

Добрый день! EventLog  Код события 6013 время 03.06.2014 13:22:46
Время работоспособного состояния 57857 сек.
- я все правильно понял, что именно 57857 сек указывать или все-таки 20-30?
Время создания файла key 03.06.2014 16:16

----------


## stack515

> Добрый день! EventLog  Код события 6013 время 03.06.2014 13:22:46
> Время работоспособного состояния 57857 сек.
> - я все правильно понял, что именно 57857 сек указывать или все-таки 20-30?
> Время создания файла key 03.06.2014 16:16


Все верно! надо указывать 57857. Разговор по 20 сек идет в отношении WinXP.

----------


## yarmar

*stack515*, Уважаемый !!! Благодаря твоему методу один ПК с XP восстановлен. Со вторым нужна помощь. Время задержки в секундах минус 59 (из-за синхронизации с доменным временем) Сколько надо ставить зазоры или передвинуть время первого файла? Спасибо.

----------


## stack515

> *stack515*, Уважаемый !!! Благодаря твоему методу один ПК с XP восстановлен. Со вторым нужна помощь. Время задержки в секундах минус 59 (из-за синхронизации с доменным временем) Сколько надо ставить зазоры или передвинуть время первого файла? Спасибо.


Один восстановлен - это замечательно!!! Теперь второй. "минус 59" - это значение из проги в сообщении #60? Если да, то надо перезагрузить комп еще раза два и повторить процедуру вычисления этого интервала. Напишите, пожалуйста, результаты.

----------


## yarmar

Более подробнее примерно вот такая картина. Сразу же после запуска утилита показывает 20 сек. Как и положено. Но потом в логах видно, что произошла синхронизация времени с контроллером домена. И утилита  показывает -59. Пока методом подбора  я запустил перебор паролей. О результатах отпишусь.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## icon80

С помощью генератора  *stack515* получилось подобрать пароль, Вин ХП.
Спасибо большое!!!

----------


## yarmar

Взял начальный параметр 180 конечный 0 .Пароль вычислился за пару часов. Stack515, ещё раз огромнейшее тебе спасибо!

----------


## stack515

> Взял начальный параметр 180 конечный 0 .Пароль вычислился за пару часов. Stack515, ещё раз огромнейшее тебе спасибо!


Отлично!!!

----------


## ykar

> Отлично!!!


Спасибо огромное, у меня тоже получилось, меньше 2х часов на Xeon e5645.

----------


## DuDDiTs

Добрый вечер!
Пытаюсь разобраться с утилитой уважаемого stack515, запускаю start.cmd появляется окно, где написано нажмите любую клавишу, нажимаю и ничего не происходит. Если запустить antihack вручную, то появляется окно как в файле ЧИТАТЬ, куда необходимо вводить данные. Подскажите плиз как правильно. Заранее спасибо!

----------


## iriider

С помощью генератора stack515 получилось подобрать пароль, Win 7, (защифровал сетевую шару)
Спасибо ОГРОМНОЕ!!!

----------


## stack515

*icon80*, *yarmar*, *ykar*, *iriider* Рад за всех вас! Просматривайте, пожалуйста, еще какое-то время эту тему. У вас уже есть опыт и, возможно, вы сможете кому-нибудь помочь.

- - - Добавлено - - -




> Добрый вечер!
> Пытаюсь разобраться с утилитой уважаемого stack515, запускаю start.cmd появляется окно, где написано нажмите любую клавишу, нажимаю и ничего не происходит. Если запустить antihack вручную, то появляется окно как в файле ЧИТАТЬ, куда необходимо вводить данные. Подскажите плиз как правильно. Заранее спасибо!


*DuDDiTs*,  Окно с надписью "Нажмите любую клавишу..." появляется в том случае если в папке нет файла 1.rAr. Проверьте, пожалуйста, точно ли Вы следовали инструкции.

----------


## DuDDiTs

*stack515*, спасибо большое за быстрый ответ!
Файл 1.rAr есть, я уже пробовал разные файлы архивные переименовывать, start.cmd пишет нажмите любую клавишу...может быть я не в то место распаковываю архив с Вашей утилитой? Или не важно где папка с утилитой находится?

----------


## stack515

> *stack515*, спасибо большое за быстрый ответ!
> Файл 1.rAr есть, я уже пробовал разные файлы архивные переименовывать, start.cmd пишет нажмите любую клавишу...может быть я не в то место распаковываю архив с Вашей утилитой? Или не важно где папка с утилитой находится?


Странно... папка может быть любая, очень желательно не сетевая. Ну и запускать _start.cmd лучше из нее напрямую, а не через ярлык. Можно проверить права на файлы, если в системе есть разграничения прав. Можно поступить так: запакуйте свою папку, выложите куда-нибудь (например на rghost), а я скачаю - гляну что не так.

----------


## DuDDiTs

> Странно... папка может быть любая, очень желательно не сетевая. Ну и запускать _start.cmd лучше из нее напрямую, а не через ярлык. Можно проверить права на файлы, если в системе есть разграничения прав. Можно поступить так: запакуйте свою папку, выложите куда-нибудь (например на rghost), а я скачаю - гляну что не так.


Посмотрите пожалуйста http://rghost.ru/56443247

----------


## stack515

> Посмотрите пожалуйста http://rghost.ru/56443247


Вот что у Вас получилось:
1rar.PNG

Это происходит потому что Ваша система не отображает расширений файлов. То есть при переименовывании винда сама добавит .rAr к имени файла. Следовательно надо переименовать его как "1" (без .rAr)

----------


## DuDDiTs

> Вот что у Вас получилось:
> 1rar.PNG
> 
> Это происходит потому что Ваша система не отображает расширений файлов. То есть при переименовывании винда сама добавит .rAr к имени файла. Следовательно надо переименовать его как "1" (без .rAr)


Спасибо большое!
Если можно подскажите плиз еще по интервалам временным, правильно ли я все понял.
У меня дата файла key в папке tmp ‎04.06.2014 ‏‎0:23:03 
EventLog в событиях 04.06.2014 0: 20 :18
Время работы отображается 87105 сек
Достаточно ли будет интервалов -60/+60?

----------


## stack515

> Спасибо большое!
> Если можно подскажите плиз еще по интервалам временным, правильно ли я все понял.
> У меня дата файла key в папке tmp ‎04.06.2014 ‏‎0:23:03 
> EventLog в событиях 04.06.2014 0: 20 :18
> Время работы отображается 87105 сек
> Достаточно ли будет интервалов -60/+60?


Тут могу только сказать, что многие на Win7 использовали интервал +/-60 удачно.

- - - Добавлено - - -

*DuDDiTs*, Архив правда какой-то странноватый... 114 байт. Так что если не получится - предлагаю взять другой.

----------


## DuDDiTs

запустить получилось, после того как закрыл графическое окно появилось около 7-8 окон командной строки, в которых бежали строки, потом они все остановились в низу надпись already exists. Оverwrit it и предлагалось выбрать Y (Yes), N (No), A (all), Q (quit). Нажал А, после этого появился в папке с утилитой текстовый файл, который подошел к переименованному файлу, к другим не подходит. Я так понимаю необходимо каждый заархивированный файл прогонять через утилиту? Или я что-то неправильно сделал?

----------


## stack515

*DuDDiTs*, Для проверки архива запустил у себя.... 100% надо другой!!!

- - - Добавлено - - -




> запустить получилось, после того как закрыл графическое окно появилось около 7-8 окон командной строки, в которых бежали строки, потом они все остановились в низу надпись already exists. Оverwrit it и предлагалось выбрать Y (Yes), N (No), A (all), Q (quit). Нажал А, после этого появился в папке с утилитой текстовый файл, который подошел к переименованному файлу, к другим не подходит. Я так понимаю необходимо каждый заархивированный файл прогонять через утилиту? Или я что-то неправильно сделал?


Просто архив битый. Надо другой

----------


## DuDDiTs

пробую другой, я только до конца так и не понял какой должен быть результат, утилита должна выдать пароль который будет подходить ко всем заархивированным файлам?

----------


## stack515

> пробую другой, я только до конца так и не понял какой должен быть результат, утилита должна выдать пароль который будет подходить ко всем заархивированным файлам?


Да... в папке должен появится файл _passw.txt в котором будет пароль ко всем архивам.

PS: Во второй раз утилита при запуске _start.cmd будет тупить минуты две.

----------


## DuDDiTs

Благодаря *stack515*, и его утилите все подобралось. Огромное Вам спасибо за помощь! Очень приятно, что есть отзывчивые люди, которые помогают в беде! :Smiley:

----------


## stack515

*Важное дополнение!*

На примере ситуации у *DuDDiTs* убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.

*ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН*, то нужно пользоваться способом как для XP *или* следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. *В ту же секунду* есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.

----------


## nedes

> *Важное дополнение!*
> 
> На примере ситуации у *DuDDiTs* убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.
> 
> *ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН*, то нужно пользоваться способом как для XP *или* следующим алгоритмом:
> 1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
> 2. *В ту же секунду* есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
> 3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.


Please, Help:

03.06.2014 13:22:46  EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!  :Sad: 
03.06.2014 16:15:00  создание System
03.06.2014 16:16:00  создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## stack515

> Please, Help:
> 
> 03.06.2014 13:22:46  EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
> но в логах нет события 6005! 
> 03.06.2014 16:15:00  создание System
> 03.06.2014 16:16:00  создание Key
> 
> Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?


Просто так угадывать цифры не стоит...
Попробую помочь: мне надо видеть Ваш лог. Для этого на журнале "система" жмем правой кнопкой, затем "сохранить все события как". Далее выкладываем этот файл на любой файлообменник (например rghost) и кидаем сюда ссылку.

- - - Добавлено - - -




> Please, Help:
> 
> 03.06.2014 13:22:46  EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
> но в логах нет события 6005! 
> 03.06.2014 16:15:00  создание System
> 03.06.2014 16:16:00  создание Key
> 
> Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?
> 
> О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.


Нет! Нет!!!! День после - это не то!!!! Надо ДО! По Вашему логу момент загрузки *01.06.2014 19:51:51*. Там два события в одну секунду: 6005 и 6013 (со значением *55* сек). Вот это и надо использовать как время в логах в Вашем случае!!!

----------


## DuDDiTs

Еще раз спасибо Уважаемому *stack515*, !!!! :Smiley:

----------


## stack515

> Еще раз спасибо Уважаемому *stack515*, !!!!


Рад, что все хорошо закончилось!  :Smiley:

----------


## nedes

1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад  - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
 - в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!!  :Clapping:   :Clapping:   :Clapping:

----------


## stack515

> 1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
> 2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад  - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
> 1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
> 2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
>  - в моем случае 55 сек.
> 
> ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!!


Отлично! Рад за Вас! Все верно. Надо все делать как раз не спеша, так как от точности параметров введенных в программу зависит успех!!!

----------


## AlexSv

Огромное спасибо Уважаемому stack515. ( пароль найден )

----------


## Alex8282

Народ у меня почему-то не выходи???  Может что-то не так делаю??
WS2008 st  Нахожу в журнале системы событие билж. к дате заражения
Имя журнала:   System
Источник:      EventLog
Дата:          20.05.2014 12:50:19
Код события:   6005
Имя журнала:   System
Источник:      EventLog
Дата:          20.05.2014 12:50:19
Код события:   6009
Далее  кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00 
Результата нет....может что-то не так делаю????

----------


## stack515

> Народ у меня почему-то не выходи???  Может что-то не так делаю??
> WS2008 st  Нахожу в журнале системы событие билж. к дате заражения
> Имя журнала:   System
> Источник:      EventLog
> Дата:          20.05.2014 12:50:19
> Код события:   6005
> Имя журнала:   System
> Источник:      EventLog
> Дата:          20.05.2014 12:50:19
> ...


Хм... На первый взгляд - все так.

- Попробуйте найти все-таки папку c:\tmp, если ее нет - надо постараться понять куда она могла пропасть. в ней должен быть файл key.

- 20.05 - это ближайшая перезагрузка?

- Как я понял в WS2008 нет события 6013?

- Долго ли грузится комп? Попробуйте утилиткой из сообщения #60 проанализировать значение таймера в момент события 6005.

- Какой разброс стоит в программе. Советую расширить. Если позволяет мощность - значительно расширить. (например -600 +300)

----------


## Alex8282

c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
20.05 это ближайшая...
WinSer2008 есть событие 6013
Имя журнала:   System
Источник:      EventLog
Дата:          02.06.2014 12:00:00
Код события:   6013
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Время работоспособного состояния 1120229 сек.
ДЛя чего нужен????
Файл так и называется key? а расширение?
Key поиск не находит

- - - Добавлено - - -

Вложение 480549

Скорей всего оно не верно

С датой 20.06.2014 получил значение 104 что с ним делать??

----------


## stack515

> c:\tmp Точно нет!
> Вирус пришел по сети...у пользователей подключена папка обмена


Стоп!!! Стоп!!!! Вы хотите сказать что это не тот компьютер на котором было заражение?

Скажу пару слов о работе вируса: Вирус для генерации пароля использует число миллисекунд, которые прошли с момента запуска компьютера до момента заражения!

Вам *необходимо* найти компьютер, который это зашифровал!

Искать его, кстати можно, именно по присутствию папки c:\tmp с соответствующим содержимым. Файлы *moar.exe, key, psystem, system, testz, driver.bat, bmrsa.exe* и т.д.

----------


## Alex8282

я наше комп с Key !!!!!!!!!!!!!! ура 
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???

----------


## stack515

> я наше комп с Key !!!!!!!!!!!!!! ура 
> теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???


Подбирать можно на *любом*, НО дату и время в логах надо брать от *ЭТОГО КОМПА!*. Ну и дату/время key файла из c:/tmp естественно с него же...

Какая ОС не нем?

----------


## Alex8282

win7 64 кей от 03.06  а EventLog тоже надо брать от 03.06 с того компа который был заражен?

----------


## thyrex

Именно так

----------


## Alex8282

А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53

----------


## stack515

> А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53


Надо искать события *ДО* заражения! Если 6005 и 6009, то оно может быть вообще в мае. Или найти событие 6013 от 03.06.2014 (обычно в 12-00) и взять его за основу, но *ТОЛЬКО* в том случае если этот компьютер не входит в сон!

Если возникают проблемы, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку.

----------


## sandro206

Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7

----------


## stack515

> Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7


Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.

----------


## sandro206

> Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!
> 
> PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.


наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.

----------


## stack515

> наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.


Логи с 4 июня? весьма странно... может фильтр какой-нибудь применен? Если есть желание, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку (или в личку киньте).

В общем, надо определить время запуска компа в тот день... без этого не найти пароль.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PrOxOr

*stack515*, Время создания файла *Key* 03.06.2014 17:01:56, событие *EventLog* 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?

----------


## stack515

> *stack515*, Время создания файла *Key* 03.06.2014 17:01:56, событие *EventLog* 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?


Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?

----------


## PrOxOr

> Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?


 Последний *EventLog* 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.

----------


## stack515

> Последний *EventLog* 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.


Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать *6005,6013,6009,6006* ... и сразу будет видно какое событие 6005 было последнее *ПЕРЕД* заражением!

----------


## PrOxOr

> Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать *6005,6013,6009,6006* ... и сразу будет видно какое событие 6005 было последнее *ПЕРЕД* заражением!


То есть я правильно понял? Время работы берем из *6013*, а Дату из *6005*(он один на это число)

----------


## stack515

> То есть я правильно понял? Время работы берем из *6013*, а Дату из *6005*(он один на это число)


У Вас в логах будет такая картина: подряд в *одну секунду* три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая *ДО* заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.

----------


## PrOxOr

> У Вас в логах будет такая картина: подряд в *одну секунду* три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая *ДО* заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.


Все нашел, написано 30000 паролей. Это нормально?

----------


## stack515

> Все нашел, написано 30000 паролей. Это нормально?


По скриншоту - все нормально. Соответственно в программе должно быть:
Дата в логах: 03.06.2014 14:30:12
Время работы: 18
Дата первого файла: 03.06.2014 17:01:56
Зазоры до и после лучше не трогайте.

Паролей у вас должно быть 300 000 (ноликом Вы ошиблись). Это нормально!

У многих людей находился пароль и в интервале 60 60... это всего 120 000 паролей, но больше риск промахнуться и начать все заново

----------


## thename

Ребята, всем спасибо. Отдельное спасибо *stack515* за программку. Подобрал пароль за 4 часа (пень i7). Заражение было на windows xp.

----------


## lacosst

Подскажите пожалуйста, машина на которой идет подбор на Xeone под Win s12 r2 

время лога 12:00:51
время первого файла 14:48:14
работа 9365 сек

подбирает уже больше часа, это нормально?

----------


## thyrex

Информация


Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833

Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование

----------

*Никита Соловьев*,  *olejah*

----------


## lacosst

> Информация
> 
> 
> Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833
> 
> Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
> В ближайшие дни проведу исследование




У меня такая же проблема, сейчас подбираю пароль по методу описанному в этой теме, как понимаю шансы на успех маловероятны?((

----------


## Никита Соловьев

> Ключ генерируется на основе позиции курсора мыши


Где-то тут такую идею я уже видел. Уже приняли на вооружение.  :Smiley:

----------


## stack515

> Где-то тут такую идею я уже видел. Уже приняли на вооружение.


Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))

----------


## drumbass

приветствую всех, хана словили у нас один такой же последний вирус c:\tmp\bmrsa.exe
В их текстовике рядом с зашифрованными файлами внизу какой то код

----------


## thyrex

> сейчас подбираю пароль по методу описанному в этой теме


Не поможет, ибо метод генерации ключа принципиально иной




> c:\tmp\bmrsa.exe


С его помощью ключ архивирования шифруется




> А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)?


Возможно. Я тупо извлек файлы из самораспаковывающегося архива.
Начинаю исследование. Ждите статью в новой теме

----------

*olejah*

----------


## lacosst

> Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))



http://virusinfo.info/showthread.php?t=162848

----------


## q2ker

А из той информации, что находиться в файле !!Файлы зашифрованы.txt можно что-то получить? Сами злоумышленники ведь быстро расшифровывают файлы.
Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?

----------


## thyrex

> Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?


Именно так

----------


## q2ker

чтоб им сдохнуть, тварям.

Словил новую версию, не знаю что делать, переборщик паролей показал год переборки 65 знаков

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drumbass

ТП drweb просит файл drivers.000. Мол без него расшифровка невозможна. Просканил ЖД по быстрому нет такого файла.

----------


## thyrex

Читаем исследование новой версии http://virusinfo.info/showthread.php?t=162915&p=1135727

----------

*olejah*

----------


## drumbass

не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю. 
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты

----------


## q2ker

> Ничего, юзерам урок будет чтобы не открывали что попало из почты


1 Если бы стоял нормальный антивирус не былобы такого - это не его вина 
2 Если пользователю не были даны четкие инструкции что стоит делать, что нет - это не его вина
3 Если не настроен спам контроль и проверка почты до попадания в ящик пользователя  - это не его вина

----------


## drumbass

1. стояло и два, симантек и софос на шлюзе - оба пропустили
2. инструкции может и не четкие но были, тут уж элементарно думать надо было
3. ящик был провайдерский, спам контроль у них же. Как оно там прошло я хз

PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ?  Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar

----------


## q2ker

> PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ?  Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar


В ХП есть в поиске, в дополнительно -  с учетом регистра
В 7 - поиск урезанный, пользуюсь http://www.fileseek.ca/Download/

----------


## drumbass

в XP он в имени файла регистр смотрит,  расширение ему по барабану. В 7 спасибо , потом пригодится. Сейчас эти "добрые" ребята сами прислали утилиту для удаления таких файлов и опять извинились  :Cheesy:   Ну просто няшки....

----------


## thyrex

> Ну просто няшки....


Видимо, прочли здесь о Ваших проблемах )))

----------


## Jinu

> не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю. 
> Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты


Даров. Какие файлы вы им отправили, чтобы вам прислали пароль?

----------


## techniq

> не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю. 
> Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты


Секретарь открыла вложение письма. Symantec никак не отреагировал. Сетевая папка с документами заархивировалась. Ни одна найденная программа по распаковке от Касперского и ДрВеб не отработала.  Пришлите, пожалуйста, что имеете.

----------


## thyrex

В ходу новая версия есть. Да и ключ архивирования вряд ли Вам подойдет  :Smiley:

----------


## Andrey-irk

Здравствуйте. Пользователи поймали вирус, который зашифровал файлы в архивы *.rAr. Нашел тут способ и скрипты для брутфорса пароля. Папки tmp на диске c: я не нашел, но нашел папочку xtmp, в которой лежат файлы: hh.bat, mask.mask, pgp.exe и другие. Поковыряв эти файлы я выяснил, что папку создал вирус. Файла key в ней нет. Все файлы созданы в 16.33. Первый зашифрованный файл создан в 16.33. В событиях нашел eventlog в 12.00. Поможет ли этот способ?

----------


## elite128

Как раз мой вариант вируса, поставил перебор, посмотрю, получится или нет

----------


## elite128

Странно, пароль вроде набрутфорсил, но не подходит (файл не открывает)

Пишет файл поврежден или указан неверный пароль
!   C:\antihack\1.rAr: Ошибка CRC в зашифрованном файле razuv.cer. Файл повреждён или указан неверный пароль.


TA4uMF43iKK927sybH0984643qHE8Ld55LrG2x65GoZ79T166N  1X3hk83ktXSd0J

как такое может быть?

----------


## thyrex

Значит сбрутили неудачно

----------


## elite128

> Значит сбрутили неудачно


UPD промахнулся со временем, оказывается первый файл в 9 утра, и нужно брать эвент с прошлого дня

----------


## Andrew Placid

Сейчас появилась новая напасть (или может уже и не новая), в общем также все рарится, только заходят по RDP, собственно, что и словила тут одна фирма, которая ко мне обратилась. Хотел спросить, как именно злоумышленники узнают ip, да еще и с логином и паролем. Это я к чему. ip и пароль действительно подбираются (в моем случае действительно подобрать было просто - пароль такой же как логин, да еще и из 3 букв) или на компе, откуда заходят, есть какая-то зараза, которая может перехватить данные о сохраненных rdp-сессиях? Просто, тогда выходит, что не поможет более сложный пароль.
В общем, хотелось бы знать, как защититься от такого в дальнейшем.
Вымогатели просят 300$, причем через wm-карточки, видимо, боятся светить кошельки. Интересно, если обратиться в вебмани, то могут ли они отследить на какой кошелек активировали определенную карточку? Или бессмысленно?

----------


## shurman

Вопрос гуру.
что происходит после того, как вирус создал архив с паролем. как удаляются исходные файлы?
возможно ли восстановить исходные файлы способом аналогичным как при удалении файла обычным способом.

----------


## Andrew Placid

> Вопрос гуру.
> что происходит после того, как вирус создал архив с паролем. как удаляются исходные файлы?
> возможно ли восстановить исходные файлы способом аналогичным как при удалении файла обычным способом.


Я не гуру, но это также было первое что пришло мне в голову. Но r-studio не нашел ничего из удаленного, только кучу файлов нулевой длины __rar_tmp. Видимо как-то хитро удаляют. В моем случае рарили по RDP под ограниченной учеткой, но права были целиком на диск, который зарарили.

----------


## shurman

мой случай такой же как у вас.
но различные программы видят удаленные файлы.  и восстанавливают. и размеры файлов нормальные. но внутри непонятно че. текстовые файлы открываются, но внутри ничего не видно. пустые символы. программы не работают. короче восстанавливаются файлы не удачно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## shurman

Через восстановление удаленных файлов процентов 80 информации удалось восстановить. надо пробовать другие программы восстановления. работал  R-студия. видимо некоторые файлы она не смогла восстановить. 

совет всем "бедолагам как и я" если заражение произошло - в первую очередь сделайте копию диска на другой аналогичный диск. лучше 2. и только после этого работайте С КОПИЕЙ. никакие процедуры записи на диск не должны производится. иначе часть инфы безнадежно пропадет. (у меня так).

интересно узнать какой шифровальщик отработал. 
симптомы:
- отсутствуют папки темп и прочие на диске C
- на всех дисках в архиве ВЕСЬ диск (одним файлом RAR) где были доки или 1с
- пробили WIN2008 через РДП под одной из учеток.  IP разные (питер, испания, США и прочие)
- возле каждого RAR файла текстовый файл с текстом "ошибка сервера № 25 [email protected]"
- после запуска сессии под "пробитой" учеткой начинается блокировка всего и вся и мелькает окошко с текстом про запуск RAR-чегото (не успеваю прочесть). под другими учетками этого нету.
- касперский 6,0 молчит
комп с вирусом изолирован и изучается мной

----------


## r0m4ik

> Всем доброго дня! "Утилита" работает стабильно.
> 
> Чтобы попробовать справиться с напастью Вам потребуется:
> 1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
> 2. Мощный комп (желательно игровой комп или сервак)
> 
> Архив надо распаковать на мощный комп. Далее ОБЯЗАТЕЛЬНО прочитать файл ЧИТАТЬ.PDF.  Читать внимательно, стараясь понимать зачем нужна каждая цифра! Процесс не быстрый, а результат зависит только от того, правильно ли Вы задали параметры. НЕ НАДО СЧИТАТЬ ЭТУ УТИЛИТУ ПАНАЦЕЕЙ!!!
> 
> Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.




Подскажите пожалуйста, я с помощью этого нашел ключ, но этот ключ подходит только именно к тому файлу, который я переименовал в 1.rar и кинул в папку. Это получается нужно так каждый файл туда пихать и генерировать?

----------


## MarksMan2008

Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
2. Мощный комп (желательно игровой комп или сервак)

Скачал, запустил, указал время и сделал патч - процесс пошел, вернее открылось некое количество окон, в которых начался перебор, как я понимаю - но потом процесc остановился во всех окнах с вопросом на перезапись некого файла... что не так было сделано?

----------


## Паша Ефремов

Добрый день!
Столкнулся с проблемой архивации с паролем всей рабочей инфы. Скачал архив с утилитой с rghost. Далее стал следовать инструкциям и столкнулся с проблемой. У меня отсутствует папка C:/tmp в которой должен быть файл key. В утилите я заполнил все необходимые поля нажал кнопку патчить и вышла ошибка File not found. Надеюсь вы сможете мне помочь. Заранее благодарен

----------


## thyrex

*Паша Ефремов*, а Вы уверены, что у Вас именно такой случай, о котором написано в *первом сообщении темы*?

----------


## Паша Ефремов

Да уверен, т.к. прочитал все 9 страниц данной темы. Есть некоторая загвоздка я не смогу прикрепить зашифрованный архив, т.к. он весит 24,5 Гб.  :Sad:  Ещё и "коллеги" с работы поднасрали удалили текстовый файл с требованием заплатить денег злоумышленникам с помощью данной информации я бы мог более точно информацию поискать, и вроде как Каспер снёс папку C:\tmp или нет они не знают, пользовался прогой для восстановления удалённых файлов, чтобы найти файл key, но так ничего и не обнаружил, что поделать не знаю.

----------


## thyrex

Если у Вас вся информация зашифрована в один архив, то это не Ваш случай  :Smiley:

----------


## Паша Ефремов

Не могли бы вы меня в таком случае отправить по верному пути?

----------


## thyrex

Помогут только злодеи. Увы

----------


## stack515

> Не могли бы вы меня в таком случае отправить по верному пути?


К сожалению, присоединюсь к *thyrex*. Дело все в том, что если бы подобрать пароль к архиву было бы так просто, то в нем не было бы смысла. Злоумышленники обычно используют пароль в 64 знака, обычно используют около 80 символов для каждого знака пароля. В этом случае количество комбинаций равна 6 и 121 нолик после этой шестерки. На обычном не сильном компьютере у меня получалась скорость подбора около 200 тыс. паролей в час. Если разделить, то получится, что пароль подберется примерно после 20 ледниковых периодов на земле. Увы. В той версии вируса, которая появилась в июне 2014 и которой посвящена эта ветка, была уязвимость в коде. Возможно, это была кривость рук вирусописателя. После анализа кода вируса было установлено, что пароль статистически предсказуем с интервалом около +/- 200 тыс. паролей. Это и спасло так много людей! С тех пор вирусописателями была проделана большая работа над ошибками, вплоть до независимой генерации всех 64 знаков пароля.

----------


## Паша Ефремов

Ладно, спасибо вам за исчерпывающий ответ. Теперь бы ещё файл с требованием найти, хоть знать какому мудаку написать, а то из-за своих коллег инфу за два года терять не хочется  :Sad:

----------


## Александр С.

Добрый день
Заразили сервак, похоже этим зловредом. Вход был по RDP
Осталась у кого-нибудь утилита на которую есть ссылка в теме?
К сожалению, вот эта ссылка уже не работает: http://dl.dropbox.com/u/1407012/antihack_v3.zip

----------

