PDA

Просмотр полной версии : Расшифровка файлов .BMCODE: поиск решения



delightman
06.02.2013, 17:01
Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.

так же инструкция в архиве для оффлайна: 402404

если кто-то что-то захочет дополнить - пишите.

Если кто-то может оформить данный скрипт в более удобную утилиту - добро пожаловать.

СДЕЛАЙТЕ КОПИЮ ЗАШИФРОВАННЫХ ФАЙЛОВ. ОБЯЗАТЕЛЬНО. ПРИ МАЛЕЙШЕЙ ОШИБКЕ ВСЕ БУДЕТ ПОТЕРЯНО. ЭТО НИ РАЗУ НЕ ШУТКА. ВСЕ ДЕЙСТВИЯ НА ВАШ СТРАХ И РИСК – ПОСЛЕДСТВИЯ НИЖЕУКАЗАННЫХ ДЕЙСТВИЙ МОГУТ БЫТЬ НЕОБРАТИМЫ.

Для запуска на зашифрованном компьютере должен быть установлен PowerShell. Если это Windows 7, обычно он там уже есть. Для Windows XP можно скачать здесь (http://www.microsoft.com/en-us/download/details.aspx?id=7217). Также должен быть разрешён запуск скриптов. Чтобы разрешить запуск скриптов – надо запустить «пуск – все программы – стандартные – windows powershell - Windows PowerShell ISE» и выполнить команду: set-executionpolicy bypass

Далее: копируете код который в конце и вставляете в пустой файл в блокноте. Сохраняете. Потом переименовываете - расширение должно быть "ps1". И открываете в powershell.
Или копируете прямо в powershell, кому как удобнее.

Если расшифровку производите на том же компьютере, на котором все зашифровалось – просто запускаете выполнение скрипта и ждете (если документов много – ждете долго). Хотя я бы посоветовал в любом случае сделать действия, как если расшифровка будет на другом компьютере.

Если расшифровку производите на другом компьютере (или виртуальной машине), куда скопировали зашифрованные данные – надо предварительно НА ТОМ КОМПЬЮТЕРЕ, ЧТО ПОСТРАДАЛ, сделать следующее:

Скопировать нижеуказанный код в powershell или открыть сделанный вами файл .ps1,
стать левой кнопкой мыши в начало строки 3, как указано на рисунке:

402387

И нажать F9
Станет вот так:

402391

Потом запустить скрипт, выполнение остановится как раз на строке 3, надо подвести курсор мыши на переменную $ek во второй строке, вылезет ее текущее значение, например:

402392

И ОЧЕНЬ внимательно его записать.

Потом нажать SHIFT+F5 и после этого CTRL+SHIFT+F9.
Теперь идем на тот компьютер (виртуальную машину), где будем все расшифровывать, запускаем powershell, открываем наш код и первую строку, которая имеет вид


$ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;

делаем следующего вида:


$ek="ED2D9475-E11D-E341-A5FF-511AE59201E4";

ЭТО ПРИМЕР, ЦИФРЫ ДОЛЖНЫ БЫТЬ ДРУГИЕ!!!!!!!

И запускаете скрипт, ждете.

собственно, сам код:


$ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;
$bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); # UID компьютера
$basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6Qpe vxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvi der;
$rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); # импорт объекта с данными ключа
$enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); # шифрование UID компьютера RSA

function Decrypt-File($item, $Passphrase){
$salt="BMCODE hack your system";
$init="BMCODE INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateDecryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}


$disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
foreach($disk in $disks){
gci $disk.root -Recurse -Include "*.BMCODE" | % {
try {
$file=[io.file]::Open($_, 'Open', 'ReadWrite');
if ($file.Length -lt "40960"){$size=$file.Length}
else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
$ToEncrypt = $file.Read($buff, 0, $buff.Length);
$file.Position='0';
$Encrypted=Decrypt-File $buff $ek;
$file.Write($Encrypted, 0, $Encrypted.Length);
$file.Close();
$newname=$_.name -replace '\.BMCODE','';
rename-item -Path $_.FullName -NewName $newname -Force;
}
catch{}
}
}

olejah
07.02.2013, 18:37
Предлагаю всем желающим поучаствовать в обсуждении решений для расшифровки файлов .BMCODE.
Имхо, можно также попробовать te182decrypt (http://ftp.drweb.com/pub/drweb/tools/) от вебовцев.

scorax
07.02.2013, 23:59
Вчера получилось, указанным способом расшифровать файлы, автору спасибо. Единственное, что UUID узнавал повершелом, так проще, тут написал как: http://forum.kaspersky.com/index.php?showtopic=234075&st=2380&gopid=1981036&#entry1981036
Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили. Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).

delightman
08.02.2013, 08:43
Предлагаю всем желающим поучаствовать в обсуждении решений для расшифровки файлов .BMCODE.
Имхо, можно также попробовать te182decrypt (http://ftp.drweb.com/pub/drweb/tools/) от вебовцев.

пробовал, мне не помогло: "зашифрованных файлов не обнаружено"

Hechicero
08.02.2013, 09:15
пробовал, мне не помогло: "зашифрованных файлов не обнаружено"
аналогично.

В скриптах не очень разбираюсь, можно ли объяснить его действие, включая наши операции на пострадавшем компьютере?

Ilya Shabanov
08.02.2013, 11:29
В ближайшие дни ожидается утилита для расшифровки, есть такая информация.

У кого-то бизнес похоже рушится :D

Hechicero
08.02.2013, 11:44
Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили. Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).

В лаборатории Веба тоже подтверждают, что невозможно дешифровать зашифрованные rsa1024 без наличия трояна..
к сожалению, он самоликвидировался :(

telsek
08.02.2013, 13:00
СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!! У меня тоже получилось с помощиью скрипта раскодировать свои файлы.

Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.

Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
Пишите на [email protected]

:clapping::clapping::clapping::clapping::clapping:

Hechicero
08.02.2013, 13:54
Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
Пишите на [email protected]

спасибо! :)
я боюсь, что нужен именно тот, закодировавший конкретно мои файлы. Так как код шифрования, заключенный в нем, или же механизм (увы, я не знаю, как именно устроен вирус) может быть отличный от вашего..

thyrex
08.02.2013, 14:35
http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe тоже уже должен расшифровывать

telsek
08.02.2013, 15:10
мои .BMCODE он не расшифровал...

Юрий Паршин
08.02.2013, 16:17
Вы запускали утилиту на зараженной машине?
Есть ли среди пошифрованных файлов jpg, docx, xlsx, pptx, zip файлы? Если нет, то утилита не определит ключ автоматически - в таком случае (если Вы уверены, что машина точно та), надо запустить "XoristDecryptor.exe -becodec"

Если надо запустить расшифровку на другой машине (должен быть известен UUID машины, где произошло заражение), то утилиту следует запустить так: "XoristDecryptor.exe -becodep UUID"

Grig13
08.02.2013, 17:09
мои .BMCODE он не расшифровал...

попробуйте снова. запустил полчаса назад. лечит

telsek
08.02.2013, 18:57
Сейчас попробовал с написанным доп. ключом -becodep UUID плюс он при запуске обновился вроде - получилось. Да и все время лечил с зараженного компа.

Ура - Люди у НАС есть Таблетка от ".BMCODE" от Касперского.
Спасибо!!!
:094::094::094:

Вирус, кстати, до сих пор не удалял. Как это сделать? Запустить Каспера в максимальном режиме проверки? Я пока так не делал, т.к. на сайте и они не рекомендуют удалять вирус, чтобы потом можно было найти таблетку. Раз нашли, теперь что мне делать???

thyrex
08.02.2013, 19:15
Можете удалить вручную

telsek
08.02.2013, 19:26
А вирусом является только сам файл *.hta ? (в моем случае Благодарственное письмо.hta) :)
Больше ничего? Или он потом заставил куда-то еще скачаться какие-то файлы из инета или просто что-то кроме документов еще испортил на компе?

Hechicero
08.02.2013, 22:35
Спасибо!
Утилита с ключом на зараженной машине заработала. файлы восстановлены.

delightman
09.02.2013, 20:48
.hta-файл не нужен абсолютно. Я расшифровывал свои данные на своем компьютере на переустановленной системе (не хотелось морочиться с отловом вредоноса; переустановилоперационку с нуля) и все получилось. Действовал строго по моей инструкции.

Uster
14.02.2013, 12:39
СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!!

Действовал согласно инструкции. Правда, на пострадавшем компьютере сначала было заблокирована запись на внешнюю флешку, так как хотел скопировать вредоносный файл. После прогона AVZ4, который успешно нашел и снял некоторые блокировки, запись на флешку восстановилась. После этого скачал PowerShell 2.0 (с отладчиком) для работы на Windows XP с сайта Microsoft. В отладчике работать проще. На пострадавшем компьютере выполнил отдельно первые 2 команды (что бы не заморачиваться с остановами, так как опыта работы с PowerShell не было). Посмотрел и записал код пострадавшего компьютера. Скопировал часть зашифрованных папок на "чистый" компьютер и проверил скрипт расшифровки. ВСЕ ПОЛУЧИЛОСЬ. После этого запустил скрипт на пострадавшем (сильно) компьютере и после, примерно, 2-х с половиной часов ВСЕ ПОЛНОСТЬЮ ВОССТАНОВИЛОСЬ (и файлы DOC,JPG,XLS и т.п и т.д. Правда файлы LNK (ярлыки) на рабочем столе не восстановились, но это уже мелочи).
ЕЩЁ РАЗ ОГРОМНОЕ СПАСИБО ВСЕМ. Потому что платить "компьютерным террористам" не правильно. А совместными усилиями оказывается можно побеждать. Благодарен сайту VIRUSINFO за оперативную помощь и возможность общения. Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.

splxgf
25.02.2013, 15:30
Есть продолжение этого вируса, причем UID уже не используется, и в файл успело записаться good.

КЛМН
26.02.2013, 07:30
С ftcode данная процедура не помогла, либо я что-то не так сделал..

Elusive
26.02.2013, 10:19
Аналогично, есть файл заражающий комп с ftcode. Вчера всю ночь ломал голову как он работает, вроде многое понял. Отзовитесь, кто справился с ftcode.

КЛМН
26.02.2013, 12:07
в качестве временной меры скопировал предыдущую заархивированную версию жесткого диска, благо что винда архивацию сделала автоматом, таким образом восстановил и заодно забекапил нужные файлы, которые были заархивированы системой 3 дня назад.
Лучше уж так, чем совсем ничего.
Если кто не понимает как это, то готов объяснить.

Vinogradus
26.02.2013, 13:55
Сделал такое с FTCODE, только в скрипте поменял BMCODE на FTCODE. Файлы пришли в нормальный вид, но не открываются. Пишет что испорчены....

Elusive
26.02.2013, 14:02
Сделал такое с FTCODE, только в скрипте поменял BMCODE на FTCODE. Файлы пришли в нормальный вид, но не открываются. Пишет что испорчены....

Вы забили мусором свои файлы, надеюсь вы сделали копию старых, иначе шансов восстановить почти не будет.
в случае с BMCODE используется определённый $ek, а в FTCODE он меняется каждый раз.

Vinogradus
26.02.2013, 14:12
Вы забили мусором свои файлы, надеюсь вы сделали копию старых, иначе шансов восстановить почти не будет.
в случае с BMCODE используется определённый $ek, а в FTCODE он меняется каждый раз.

Они у меня были сделаны изначально, но не в полном объёме. Хотел победить, но не сложилось видимо...

Vladimirxxx
26.02.2013, 15:52
Сделал такое с FTCODE, только в скрипте поменял BMCODE на FTCODE. Файлы пришли в нормальный вид, но не открываются. Пишет что испорчены....

Теперь жмакни пкм по файлу или папке и выбери восстановить прежнюю версию:D

thyrex
26.02.2013, 15:57
Для FTCODE рецепта нет и вряд ли появится. В отличие от BMCODE он написан безошибочно. Увы

Vinogradus
26.02.2013, 16:01
Теперь жмакни пкм по файлу или папке и выбери восстановить прежнюю версию:D
Как вариант :>

Elusive
26.02.2013, 16:02
Для FTCODE рецепта нет и вряд ли появится. В отличие от BMCODE он написан безошибочно. Увы
т.е. только заплатив можно получить данные? Тогда кому ?)) не могу никак с ним связаться.

Uncle Fedor
26.02.2013, 16:43
т.е. только заплатив можно получить данные? Тогда кому ?)) не могу никак с ним связаться.

Даже заплатив есть шанс получить вместо распаковщика программу которая подчистит все следы.
А за этим шутником, раскопавшим и подправившим старый хлам сейчас может начаться настоящая охота желающих оторвать ему яйца.

Vladimirxxx
26.02.2013, 17:02
Только что восстановил почти все данные из FTCODE, не восстановились около десяти документов word из-за слишком длинного названия(с чем связано не знаю, винда поставила перед фактом). В скрипте изменил BMCODE на FTCODE, и все файлы вернулись к обычному виду. Открываться они конечно же отказались, но "восстановление прежней версии" помогло!!!

Vinogradus
26.02.2013, 17:34
Только что восстановил почти все данные из FTCODE, не восстановились около десяти документов word из-за слишком длинного названия(с чем связано не знаю, винда поставила перед фактом). В скрипте изменил BMCODE на FTCODE, и все файлы вернулись к обычному виду. Открываться они конечно же отказались, но "восстановление прежней версии" помогло!!!
Всё-таки это не то. Файлы виндой бэкапятся только с диска С. На флэшке, которая торчала, всё погибло и на диске D тоже. А восстановить прежнюю версию можно и без скриптов, я так подозреваю. И если авто-бэкап не активирован, то тоже кирдык...

X3MALITY
27.02.2013, 08:47
Какие "предыдущие версии" на ХР ... Оно даже в Restore points залезло и похозяйничало :(