PDA

Просмотр полной версии : lockdir, RectorRSA, Xorist - Объединяемся в решении проблемы



olejah
30.05.2012, 20:05
Предлагаем всем участникам и гостям форума объединиться в решении проблемы с шифровальщиком файлов. Многие люди пишут нам, пытаются помочь кто чем может, и это просто здорово. В этой теме (http://virusinfo.info/showthread.php?t=120806&page=2) мы уже обсуждали одно решение проблемы.
Сюда прошу писать всех людей, у кого есть идеи, решения и т.д. и т.п. Объединим все это в одно целое.

Ilya Shabanov
30.05.2012, 20:15
От себя ходу добавить, что годится любая помощь по следующим направлениям:

1. Сбор информации о каналах заражения. Очень желательно конкретные письма, с заголовками. Мы их будем консолидировать и направлять антивирусным компаниям, чтобы блочили и присекали дальнейшее распространение этой заразы.

2. Анализ шифровальщика, поиск "коротких" путей для расшифровки, написание деблокера.

3. Распросранение информации о данной инициативе.


Пишите любые свои мысли и идеи!

VdimGritsenko
31.05.2012, 12:35
каналов распространения есть несколько
1) в теле эл.письма
2) доступ к компу по рдп, радмину или иным способом.
3) возможно есть и другие.
действенный метод не допустить кодировку файлов - поместить в папки с ключевыми данными пустой файл с именем thumbs.ms дать ему атрибуты скрытый,системный,толькочтение и в случае нтфс убрать в безопасности все разрешения для всех. а дальше, думаю догадались, вирус не сможет создать в папке с этим файлом папку thumbs.ms и все останется на своем месте.
у меня закодировалось несколько папок. выяснил - длина пароля 50 символов, 18 последних символов пароля удалось найти.

Ilya Shabanov
01.06.2012, 14:44
Кто-то пробовал обращаться в правоохранительные органы?
Бизнес засранцев можно прикрыть как минимум.

VdimGritsenko
01.06.2012, 16:31
есть еще один способ как обезопасить себя от ЛокДира
1) в реестре в ветке H_C_U\Software создать раздел Lockdir (желательно это проделать для всех пользовательских веток реестра).
2) забрать все разрешения к этому разделу.
3) по желанию можно спрятать сам файл regedit.exe (это на случай если злоумышленник запускает локдир интерактивно - в теминальной сессии либо локально)
проверено - локдир не сможет зашифровать данные

*этот метод можно использовать совместно с приведенным мной на два поста выше

yuramic
01.06.2012, 22:30
может кто напишет exe-шник для автоматизации вакцинирования

VdimGritsenko
02.06.2012, 00:26
лови
поменяй расширение на ехе

yuramic
02.06.2012, 16:55
что делает exe-шник

chas99
03.06.2012, 17:35
пробуйте nSWGs6sd$gs8as%s9mnsvnq3

на самом деле программа lockdir - вполне легальная... http://kakasoft.com/folder-protect/index.html
однако некоторые личности используют её в не совсем легальных целях

один из вариантов "заражения" через удаленный рабочий стол (RDP) - используя подбор паролей!
судя по сообщениям с проблемами 1С, это довольно популярный путь

1.наведите порядок с паролями и доступами к серверу!
2.смените порт 3389
3.для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы...
4.включить блокировку пользователя после 5 неудачных попыток входа на 30минут
5. на русской win2k3 добавить пользователя administrator и заблокировать его

efimt
04.06.2012, 14:20
пробуйте nSWGs6sd$gs8as%s9mnsvnq3

на самом деле программа lockdir - вполне легальная... http://kakasoft.com/folder-protect/index.html
однако некоторые личности используют её в не совсем легальных целях

один из вариантов "заражения" через удаленный рабочий стол (RDP) - используя подбор паролей!
судя по сообщениям с проблемами 1С, это довольно популярный путь

1.наведите порядок с паролями и доступами к серверу!
2.смените порт 3389
3.для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы...
4.включить блокировку пользователя после 5 неудачных попыток входа на 30минут
5. на русской win2k3 добавить пользователя administrator и заблокировать его

Спасибо тебе, добрый человек. Пароль подошел. Уж и не знаю как благодарить.

VdimGritsenko
05.06.2012, 12:22
"3. для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы..."
*Эта программулина не совсем катит и вот почему: если в фильтре укажете диапазон локальных адресов, например 10.10.1.0-10.10.1.250, и у злолумышленника локальный адрес будет из того же диапазона, то прога его пропустит и он сможет логиниться. ПРОВЕРЕНО. будьте осторожны...

regist
05.06.2012, 14:25
Для пострадавших от Locdir-a будет полезно прочитать и эту тему. (http://virusinfo.info/showthread.php?t=117452&highlight=Lockdir)

chas99
06.06.2012, 02:41
"3. для server2003 можно воспользоваться http://www.2x.com/securerdp/ и ограничить ip адреса, а также время работы..."
*Эта программулина не совсем катит и вот почему: если в фильтре укажете диапазон локальных адресов, например 10.10.1.0-10.10.1.250, и у злолумышленника локальный адрес будет из того же диапазона, то прога его пропустит и он сможет логиниться. ПРОВЕРЕНО. будьте осторожны...

Для локальных адресов можно вместо ip адресов указать mac-сетевух ;)

DJ_BoB
06.06.2012, 15:12
Здравствуйте. Возможно мое сообщение не совсем по теме (ибо я не про Lockdir пишу, а о другом вирусе, который не блокирует, а шифрует файлы и их невозможно открыть). Если не оффтопик - прошу, перенесите в нужное место. Информация в любом случае может оказаться для кого то полезной.
В исследовании принимали участия:
DJ BoB
Коптева Юлия
JohnDoe
count0
Vasko De Gama
al_gov

И так.

Доброго времени суток.

Хочу поделиться своими (и не только) соображениями по поводу вируса который пришел
на почту. В графе "От кого:" был указан отправитель "Сбербанк Онл@йн".
В письме содержалось сообщение о задолжности и был прикреплен zip-файл
в котором был запакован файл attachment.scr со значком WinRAR-а. После
того как его открывает пользователь - вирус заражает все важные
пользовательские файлы (dbf, jpg, doc, xls, html, htm, 7z, rar, zip и
т. д.). При исследовании в HEX-редакторе зараженных файлов первый
осмотр показал, что вирус заменяет во всех файлах в одних и тех же
оффсетах (00000000; 00000400; 00000800; 00000С00 и 00001000) 5 байт
информации на "88 88 88 88 88"
В конец файла уже в ASCI он прописывает шестнадцетиричный код.
Первоначально мне казалось, что это и есть те "вырезаные" куски по
пять байт с описанием тех оффсетов, откуда они были вырезаны и
зашифрованы по XOR-у и если его расшифровать то можно расслабившись
писать дешифратор и все будет хорошо. Казалось бы - все очень просто!
Особенно все достаточно просто в случаях с файлами doc и xls.
Так как в оффсете 00000000 находится заголовок файла, то после
заражения файл становится нечитабельным. И вот если в файлах doc или
xls заменить эти 88 88 88 88 88 на заголовок с незараженного файла -
файл откроется. Да, он немного будет поврежден, но незначительно. 2-4
символа придется востанавливать уже непосредственно в ворде или
экспеле. Однако такие вещи прокатывают только с doc и xls-овскими
файлами. А вот к примеру у файлов формата dbf - заголовки разные
везде. В формате jpg я тоже пробовал проделать такую штуку - не
помогло. В случае с файломи rar - заголовок восстанавливал но из-за
повреждения еще в 4-х оффсетах - один файл из архива все же не
доставался. В случае с зипом - там вообще ничего не помогает. Решили
заняться дешифровкой.

Но когда никаких результатов не добились, JohnDoe предложил провести
эксперемент. Я нарошно оставил файл с вирусом (attachment.scr) живым и
перенес его на тестовую машину. Там я создал 4 файла doc-формата в
OpenOffice-е: 1.doc; 2.doc; 3.doc; 4.doc
Они полностью пустые, заполнены лишь заголовком и служебной
информацией. Потом я открыл их в HEX-редакторе и в эти оффсеты вписал
в первых двух файлах "00" (там где вирус оставляет после себя "88" а
во вторых двух файлах вписал в тех же местах FF и запустил вирус. Как
и ожидалось - вирус изменил в уже известных нам оффсетах оригинальную
инфу на свои "88" и в конец добавил свой "хвост". Вирус лезит на все
диски (включая сетевые, поэтому никакой антивирус его и не ловит) и
убивает все на своем пути. Однако после
подсказки все того же товарища заметили то, что замена 5 байтов в этих
5ти оффсетах и добавления "хвоста" в конец файла - это не
единственное, что происходит с файлом. Например перемена двордов
местами, инкремент, декремент, какие-то смещения блоков. Там по куче
смещений такое впечатление просто сделано inc(байт) или inc(слово) или
inc(dword). Например по смещению 1E78 - там целый блок изменен с 1e78
по 1f30. 1e38 - 1e60 - просто затерт блок.
0674 - два dword'a поменяны местами и второй декрементнут
0680 - снова два дворда поменяны но второй инкрементнут
(все это говорится о файлах которые лежат в линке ниже)
У него в коде какой-то жосткий алгоритм замены. Так что эту фигню при
желании можно ревертнуть. Даже противодебаггерная фигня внутри есть.
Запуск вируса в ollydbg приводит к появлению окошек о работе под
дебаггером, возможно это криптор или упаковщик. Вот такие на данный
момент результаты самостоятельного исследования. Надеюсь, они будут
полезны в изучении и создании дешифратора для этого вируса.

Ах, да. Каспер 6-й его не видит. Мы как раз были в процессе преехода
на KES 8. Он его видит и на файл attachment.scr сразу же ругается,
пишет, что мол: алярма! вирус:

троянская программа HEUR:Trojan.Win32.Generic \\centos\inbound\Temp\вирус\Attachment.scr
троянская программа Trojan-Dropper.SIM.Reftar.a \\centos\inbound\Temp\вирус\Attachment.scr//info

Ниже, приведен линк на rar-архив. В нем следующие файлы: 1.doc; 2.doc;
3.doc; 4.doc в разных папках:
\edited\
\infected\
\original\

Соответственно в папке edited - оригинальные файлы, которые я открыл
НЕХ-редактором и в заражаемых вирусом местах (о которых я писал выше)
- прописал нули (в 1.doc и 2.doc) и FF (в 3.doc и 4.doc
соответственно). Ну а соответственно в папке original - оригиналы
файлов (на самом деле просто пустой файл формата doc созданый
OpenOffice-ом и сохраненным в формате doc). Ну и как не трудно
догадаться - в папке infeсted эти же файлы только уже зараженные
(после того как я на тестовой тачке запустил вирус). Сам вирус
находится в корне архива. Файл называется Attachment.txt .
Переименовал что-б случайно не запустить на рабочей машинке.

http://db.tt/U5cdiYKW (сокращенная ссылка на dropbox)

Надеюсь эти данные будут полезны.

thyrex
08.06.2012, 00:48
DJ_BoB

Мои замечания на Ваш опус
1. После запуска SIM-архива из него извлекаются три файла: собственно шифровальщик, воровайка паролей от онлайн сервисов, безобидный файл Excel (пока Вы его просматриваете Вас шифруют)
2. Шифровальщик использует библиотеку для работы с длинными числами FGInt и тупо перебирает файлы с подходящими расширениями на всех дисках
3. В конец испорченного файла дописывается информация необходимая для восстановления чаще всего (зависит от размера файла) 5 блоков по 10 байт, хотя вирус подменяет чаще всего только первые 5 байт в каждом блоке, причем есть варианты не только с 88
4. Сам файл шифровальщика накрыт защитой Obsidium

Ilya Shabanov
06.07.2012, 16:29
Смотрю я на список кодов здесь http://virusinfo.info/showthread.php?t=120806 и возникает очень много вопросов.

Самый главный из них - очень уж они разные. Есть только числовые, короткие. А есть длинные, которые содержат даже кириллицу.

Коды или показывают нам эволюцию малвары или же они от разных ее типов. Можно ли как-то классифицировать их?

А. Корсаков
14.07.2012, 11:20
Интересно, а есть ли способ борьбы с этой спам-рассылкой активными методами, а не только защищаясь? Я так думаю мошенникам ничего не стоит вносить изменения в свой малварь, и новый дешифратор тут же станет бесполезным. Как остановить именно рассылку, а не просто устранять последствия заражения?

thyrex
14.07.2012, 16:38
Смотрю я на списокКогда пароли были короткие, их можно было подобрать. Авторы это просекли (мониторя форумы) и, естественно, увеличили его длину, а потом и вовсе стали использовать не только цифры и латиницу, но и другие символы. Вот и все объяснение

Ilya Shabanov
17.07.2012, 15:51
Остановить можно - написать заяву в полицию, возбудят дело и будут шансы выловить мерзавцев. Наша полиция в лице Управления К иногда это умеет делать ;)

Никита Соловьев
18.07.2012, 12:56
Странная нерешительность у наших людей. Если бы каждый пострадавший обратился куда следует, думаю, вопрос давно бы был решён.

Ilya Shabanov
18.07.2012, 13:29
Странная нерешительность у наших людей. Если бы каждый пострадавший обратился куда следует, думаю, вопрос давно бы был решён.

Есть тут некоторые пикантные детали :) В случае с шифрованием баз 1С часто в интересы собственников совсем не входит ее демонстрация правоохранительным органам, мало ли что они могут там узнать ... Во многом на это тоже делался расчет злоумыленниками.

Никита Соловьев
18.07.2012, 17:45
Ilya Shabanov, Тем не менее, выход из ситуации возможен. Шифруются и такие личные данные, как фото и документы.

and2and
22.12.2012, 16:53
Странная нерешительность у наших людей. Если бы каждый пострадавший обратился куда следует, думаю, вопрос давно бы был решён.
Проблема в том, что у большинства на компах нелегальное ПО имеется, соответственно при приходе полиции они заинтересуются этим фактом больше, чем каким-то жуликом))) Вот поэтому и не обращаются:)

libido666
25.06.2013, 06:59
У меня такой вопрос, а известный Xorist в принципе, всегда можно сломать? Необходимо только тело вируса? Т.е., он самый "неопасный" из шифровальщиков? Там вроде слабое шифрование...

djpavlad
18.02.2014, 06:52
Вчера столкнулся с этой проблемой впервые. Этот хуе*** попросил аж 36000 деревянных. Ну я подумал и решил что надо разруливать.
По итогу метод очень простой. Если вам нужна ваша информация, устнавливаете WinRAR, дальше включаете в свойстве папок чтобы отображались невидимые. Проходим в нужную папку где видим lockdir.exe и папку с названием Thumbs.ms. Папку с названием Thumbs.ms архивируем, переносим на другой комп или в другую папку, заходим через винрар и разархивируем наши файлы куда надо. Я таким образом выдрал все базы 1с, и подцепил их вновь. Также смените порт на RDP.
Если кому поможет мой метод, напишите этому защеканцу на его почтовый адрес [email protected], что он лох :D:D:D

Мария Герасина
10.05.2015, 07:52
Добрый день! пришло мне вчера письмо написано счет за тттт, ( мне часто приходят счета я даже не подумала о плохом) я распаковала и все мой файлы фото, текст превратились " [email protected] 0.0.1.0.id-PQQRTUUUVWXXYZZAABCDDDEFFGHIIIJKLLMM-09.05.2015 8@[email protected] " и заставка на весь экран с комментарием и адресом [email protected],
Помогите расшифровать, очень много фото... скину всю информацию...

Malice
23.07.2015, 18:00
Добрый день! Поймали шифровальщик [email protected] 1.0.0.0. К сожалению, так и не смогли отследить откуда он появился и не поймали сам вирус. Есть большое желание разобраться с алгоритмом шифровки, буду благодарен если поделитесь тем письмом, которое к вам пришло, в личку. Читал, что RSA, но тем не менее. Одинаковые последовательности байт в разных исходных файлах по тем же адресам частенько кодируются одинаково.

thyrex
23.07.2015, 21:55
так и не смогли отследить откуда он появился и не поймали сам вирусПришел по почте


буду благодарен если поделитесь тем письмом, которое к вам пришло, в личкуА вот это уголовно наказуемое деяние