PDA

Просмотр полной версии : Очередная напасть - файлы упакованы в rAr-архивы



Страницы : [1] 2

thyrex
05.06.2014, 00:33
Спустя месяц после предыдущего варианта (http://virusinfo.info/showthread.php?t=158955) компьютеры пользователей подверглись очередной напасти. Правда в этот раз файлы не шифруются в прямом смысле этого слова, а упаковываются в rAr-архивы с паролем

Примеры тем
http://virusinfo.info/showthread.php?t=160858
http://virusinfo.info/showthread.php?t=160892
http://virusinfo.info/showthread.php?t=160934

Механизм распространения: вложение (дроппер) к электронному письму

Известные имена дроппера

Копия искового заявления в суд ответчику.cmd - просто переименованный самораспаковывающийся архив
https://www.virustotal.com/ru/file/750f307659f5ccc38e93541899d23710dfa338b19da3c839c0 d67bc9923df845/analysis/

Шифруемые файлы (на всех логических дисках)

.ppt*, .jpg, .jpe*, .doc*, .txt, .pdf, .tif, .dbf, .eps, .psd, .rar, .wbd, .cdr, .zip, .psb, .ptx, .tst, .mrh, .dbk, .4db, .sps, .mbd, .wps, .raw, .dxb, .pek, .mov, .vob, .xls*, .dwg, .cpp, .xml, .dxg, .pdm, .epf, .erf, .grs, .geo, .vrp, .yml, .mdb, .mdf, .1cd, .tar, .cdx, .dxg, .odt, .obd, .wps, .pst, .rtf, .odb, .slx

После запуска в папке c:\tmp появляется все необходимое для шифрования
Для работы вирус использует консольную версию архиватора WinRar 5.0

В каждой папке создается файл с именем !!!Фaйлы зaшифpoвaнны!!!.txt следующего содержания (пример)
Все файлы Вашего компьютера зашифрованы архиватором Rar 5.0 с паролем.
Современный уровень развития компьютерной криптографии позволяет создать
код, которым можно зашифровать файлы данных, а также зашифровать сам код,
для того, чтобы передать его со 100% гарантией надежности от
несанкционированного использования. В подтверждение этого Вы получили по
эллектронной почте письмо, вложение которого зашифровало все Ваши файлы.
При архивировании происходит шифрование данных алгоритмом AES. Взломать
такой алгоритм невозможно. Таким образом, нет смысла обращаться за помощью,
кроме автора данного шифра. Вы потеряете время и деньги.
Существуют другие разновидности подобных программ, которые расшифровывают
антивирусные компании, но в данном случае это просто невозможно.
Для того, чтобы разархировать данные - нужно приобрести пароль. Стоимость
пароля 10.000 рублей. Вместе с паролем прилагается программа, которая
расшифрует все файлы за Вас автоматически.
E-mail для связи: [email protected]
В конце данного сообщения содержится текст из набора символов. Это Ваш
пароль в зашифрованном виде. Не удаляйте данный файл, поскольку в ином
случае восстановить данные будет невозможно. Для надежности данный файл
находится во всех директориях, где имеются зашифрованные файлы.
Пришлите нам этот файл (который Вы сейчас читаете) и один зашифрованный
файл (небольшого размера) - мы его Вам расшифруем. Один расшифрованный файл
мы высылаем для подтверждения того, что Вы разговариваете с владельцем ключа
шифрования и расшифровать Ваши данные вполне реально. Также, Вам будет
выслана инструкция по оплате. После оплаты Вы получите пароль и программу,
которая автоматически расшифрует все зашифрованные файлы (имея пароль можно
разархивировать (расшифровать) все данные и вручную, без нашей программы).
Имейте в виду, больше никто в мире не сможет расшифровать данные, поскольку
пароль на архивы зашифрован алгоритмом RSA. Архивы RAR с паролем еще никто
не взломал.
Если Вам не приходит ответ долгое время, возможно, наш ответ мог попасть в
папку СПАМ Вашего почтового ящика. Посмотрите там.
Если наша почта не отвечает, возможно, наш почтовый ящик перестал работать.
Мы предусмотрели второй способ связи.
1) Зайдите на сайт www.bitmsg.me
2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
e-mail и пароль (пароль вводится два раза для подтверждения правильности
ввода).
3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
для подтверждение регистрации.
4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
нажмите кнопку Create random address. Все, вы можете отправить нам сообшение.
Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
укажите наш контактный адрес: BM-2cWkTNu9iFXi2Dw5oQAUAwK6E2pKTRea9t
Укажите тему сообщения и пишите сообщение. Потом нажимаете кнопку Send Message
(послать сообщение). Когда Вам придет ответ - его можно прочитать, нажав сверху
кнопку Inbox и нажав на тему сообшения. Ответ придет в течение 1-24 часов.
1KeY1DC414A21EAE406F758993CD160AB519D58A89A6B0FA31 7BC40242640B089601531A5B3C134E3460EC5D43F9BB3FC7F4 D3C4A83553DE5D09F9AA53E6686300E8765B34574C76C74F57 D3C7786917E61CC13C9ED360101B18D72AC6016F299060FC6B 0A58599AE1C99704C6C898014237A5D6CD657B1A8E4A336133 F44EEF2376F5C85D06F614599E392647947BE6BA3FD2F5D4EC 65303B1C982A875E8DF0141BB137A3F89FC28028F2A32B2AD1 03BB2C987719473134950F7CA68E68044F37E5E64DD65F3C02 24EDB09CF82A1E5AD6EAE80C5B98FD5483C1230A6BB51B835B EF25F628CD2CC86CB26E5715DDD266E383A56D5A21477EC543 F88EA21521B837C5

А теперь немного о работе вируса.

После запуска дроппера, извлечения компонентов стартует zap.exe. Он в свою очередь запускает driver.bat

@ECHO OFF
start "" "strt.exe"
PING -n 75 -w 1000 127.0.0.1 > nul
echo moar.exe>>system


На экран выводится сообщение якобы об ошибке Microsoft Word

Ошибка в файле или файл испорченЭто развод (инициатор - файл strt.exe). После задержки в 75 секунд, создается файл system, в который записывается строка
moar.exe

Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла testz. Если его нет, он создается. Происходит чтение содержимого файла system, в результате которого запускается файл moar.exe, который и вполняет основную работу.

В файл psystem первоначально записывается сгенерированный на основе счетчика времени работы системы 64-байтный пароль для архивирования. Этот же ключ во время работы программы хранится в памяти.

Происходит поиск подходящих для архивирования файлов. Запуск архивации происходит следующим образом

rar.exe a -ep1 -dw -p<ключ> <имя.rAr> <имя>где
а - добавить в архив
-ep1 - исключить базовую папку из пути
-dw - стереть исходный файл
Остальное, я думаю, понятно и так

После этого ключ шифруется с использованием алгоритма RSA и содержимого файла public mod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
public key=932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B 2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD 989A4EE1739A0465ECD709C392C20A70F14DA22A197999F034 7BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A 26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22 BAB68BCED
и записывается в файл key (если он уже существует, этот шаг пропускается; если не существует, то преобразованный ключ записывается и в файл psystem, затирая в нем исходный ключ шифрования).

В папке с заархивированным файлом создается файл с сообщением вымогателя, в конец которого записывается зашифрованный ключ (причем никакой проверки на наличие файла с сообщением не происходит, и он создается каждый раз заново)

Оценка возможности дешифровки:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс шифрования, выдрать из памяти программы ключ;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором ключей;

- невозможна:
-- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.

P.S. Первоначально, когда впервые стали появляться темы с этой напастью, вирус детектировался Лабораторией Касперского как not-a-virus:RiskTool.Win32.Crypter.hq (Virustotal отжигает старым детектом :)) Теперь детект обновили до Trojan-Ransom.Win32.Agent.icj

Shukriezis
06.06.2014, 08:22
Не ну это все понятно, а что теперь делать? платить деньги злоумышленнику?

probel1986
06.06.2014, 10:17
Да очень печально , два юриста просто потеряли свои файлы практически за 2 года работы , очень ждем решения , вся надежда только на вас VIRUSINFO !!!!:)

Vinny_B
06.06.2014, 10:47
на счет случая: http://virusinfo.info/showthread.php?t=160891
пришлось заплатить, ибо время - еще бОльшие деньги.
прислали пароль: 04i582JnN4XMNV3X7Q1e65q2Amrr0o0KT673ic0N0K05MP0LS3 qY2988d5Q64uHT
для нашего случая пароль подходит.

Также прислали архив с двумя программами (ссылку на архив если надо - вышлю админам, вдруг будет полезно) и сопроводили его следующим письмом

kopiruete faili moar.exe i rar.exe v lubuu directoriu.
zapuskaete moar.exe

na ekran nichego ne vvivoditsya vobshe (neuspeli napisat).
zapustite. programma vse rasshifruet i sama vigruzitsya.

chto programma rabotaet - nazhmite ctrl+alt+del -> zapustit dispetcher
zadach -> vkladka processi.

v processah uvidite mnogo vsykoi figni i uvidete rabotaushii fail
(moar.exe). esli rabotaet - idet rasshifrovka. kak propadet iz processov -
vse gotovo.

zashifrovannie faili ne udalyautsya (na vsyak sluchai - pust snachala vse
rasshifruetsya). esli nado potom udalit - otpishite, prishlu progu,
kotoraya udalit rAr. Imenno *.rAr, nichego drugogo..

rasshifrovka nachinaetsya s diska Z:. potom X: i tak do A:

Rasshifrovivaetsu s directorii AAA, potom BBB.. (eto tak mozhno bistro
naiti resultati).

Esli chto ne tak - pishite. A to u odnih tut zashifrovalos vse, a potom na
drugom kompe zapustili i vse zashifrovannoe opyat zashifrovalos. I tak ese
tri raza.. Oh tam slozhno kak vse bilo. Vse kluchi zashifrovanni nes raz..

Никита Соловьев
06.06.2014, 14:04
Не ну это все понятно, а что теперь делать? платить деньги злоумышленнику?
Делать резервную копию важных файлов. Золотое правило, особенно сейчас, когда разнообразие шифрующих троянских программ столь велико.

А если проблема уже настигла вас, ждать. Помощь с нашей стороны будет только в том случае, если будет найден ключ, что представляет собой порой невыполнимую задачу.

thyrex
06.06.2014, 16:20
ссылку на архив если надо - вышлю админамВышлите. Если получится, и мне на почту отправьте

- - - Добавлено - - -


очень ждем решения , вся надежда только на вас VIRUSINFO !!!!Если вирлабы не станут заниматься этим, то чем могут помочь такие же простые пользователи, как и Вы? Даже для брутфорса "влоб" требуется очень мощная машина

stack515
06.06.2014, 23:25
- невозможна:
-- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.


Есть небольшое дополнение. Можно найти решение в случае когда вирус закончил действие. Для этого надо определить какое значение функции GetTickCount было в момент запуска. Эта задача имеет решение (точно для Win7):
1. Ищем ПЕРВЫЙ зараженный файл на ВСЕХ дисках. Очень важно найти именно первый файл!!! Записываем дату и время. Отнимаем около 3-4 минут - это теоретическое время запуска вируса.
2. Идем в Панель управления - администрирование - просмотр событий - система. Там каждый день около 12 часов дня (вроде и при запуске винды тоже) делается запись о времени работы системы. Отсюда мы узнаем значение GetTickCount (правда в секундах) на время записи этого лога.
477891
3. Зная эти факты можно вычислить значение GetTickCount при активации вируса, точнее интервал в 3 - 5 минут.
4. Немного математики: 5 минут это всего 300 000 значений GetTickCount, а значит пароля.


Так мы восстановили два компа за 3 дня.

thyrex
07.06.2014, 13:50
stack515, наверное, Вы мне об этом писали еще по предыдущей версии. Да, конечно, этот способ сократит время перебора, но пригоден для ПРОДВИНУТЫХ пользователей, коих, к сожалению, подавляющее меньшинство

stack515
07.06.2014, 14:50
thyrex, возможно Вам писал мой коллега. Согласен, что этот способ подходит для продвинутых. Может я, конечно, оптимист, но мне казалось что у многих есть продвинутые друзья, которые зная эти подсказки могут попробовать.

PS: В процессе борьбы с этой заразой мы создали "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени. Если кому нужно - могу выложить. Мы для перебора вариантов использовали тот же rar.exe, которым файлы шифровались, но есть гипотеза о том, что сгенерированные "утилитой" ключи можно подсунуть как словарь в ломалки RARов. Возможно это будет в разы быстрее.

thyrex
07.06.2014, 16:11
Панель управления - администрирование - просмотр событий - системаНа Windows XP такого, к сожалению, не нашел (именно время работы системы)


у многих есть продвинутые друзья, которые зная эти подсказки могут попробовать.Думаю, что и таких меньшинство подавляющее


мы создали "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времениУ меня тоже был идея что-либо подобное написать. Но пока просто нестал заморачиваться. Потому если нетрудно, можете прислать мне на почту (попробуйте средствами форума, если нет, напишите администратору (http://virusinfo.info/member.php?u=105505) с пометкой переслать мне) программу, созданную вами. А если и исходники приложите,будет вообще замечательно

stack515
07.06.2014, 17:59
На Windows XP такого, к сожалению, не нашел (именно время работы системы)
Да, но многие люди особенно в организациях выключаю компы на ночь. В этом случае можно и на XP попробовать восстановить. Кстати с W7 есть один неприятный момент: если комп спит, то счетчик, который пишется в логи - не идет, а GetTickCount идет. На моем ноутбуке расхождение в два раза по этим параметрам. В этом случае из лога нужно брать первую запись из той загрузочной сессии в которой было заражение. Тогда все сходится.


У меня тоже был идея что-либо подобное написать. Но пока просто нестал заморачиваться. Потому если нетрудно, можете прислать мне на почту (попробуйте средствами форума, если нет, напишите администратору (http://virusinfo.info/member.php?u=105505) с пометкой переслать мне) программу, созданную вами. А если и исходники приложите,будет вообще замечательно
Я отправил. Там еще объяснение принципа работы "утилиты".

stack515
07.06.2014, 22:22
У меня тоже был идея что-либо подобное написать. Но пока просто нестал заморачиваться. Потому если нетрудно, можете прислать мне на почту (попробуйте средствами форума, если нет, напишите администратору (http://virusinfo.info/member.php?u=105505) с пометкой переслать мне) программу, созданную вами. А если и исходники приложите,будет вообще замечательно
Я отправил Вам на почту. Если не пришло - напишите, я повторю...

thyrex
08.06.2014, 21:22
Получил. Уже и свой генератор ключей написал

Mag1str0
09.06.2014, 09:53
Ребят, а можно и мне генератор ключей пожалуйста

stack515
09.06.2014, 10:56
Mag1str0, Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)

От этих факторов зависят шансы.

- - - Добавлено - - -


Получил. Уже и свой генератор ключей написал

Круто! А если не секрет, Вы алгоритм генерации исследовали? Я просто хотел исследовать, но не было времени, поэтому и решил изменить готовый код чтобы из вируса его превратить в генератор ключей. Получилось очень эффективно.

Shukriezis
09.06.2014, 11:10
Файлы восстановили, путем оплаты создателю вируса, очень важная деталь, вирус если несколько раз запустить он будет архивировать уже за архивированные файлы и уже с другим паролем, будет намного сложнее их восстановить, да и при распаковке будет две копии файлов. Мне было прислано несколько программ _ для распаковки с одним паролем, для распаковки с другим паролем, для распаковки с одним и вторым паролем, и программа для удаления всех архивов созданными этой программой. Вот так.
Да и на одном сетевом диске не хватило места для распаковки файлов, теперь придется освободить место и их распаковывать. Это тоже небольшая проблема.

vaflamex
09.06.2014, 11:10
Тоже хотелось бы получить генератор.
1. Win7
2. В сон не уходит
3. На ночь выключается. При чем в день заражения получилось так, что компьютер выключили еще во время работы вируса - не успел все диски прогнать.
4. Можно попробовать, есть время получения "искового" письма, попробую поискать первый файл.

Shukriezis
09.06.2014, 11:13
осторожнее с поиском, возможен второй запуск программы )))

Mag1str0
09.06.2014, 11:31
[QUOTE=stack515;1124382]Mag1str0, Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)

От этих факторов зависят шансы.

1. Ось Win7x64
2. Не уходит в сон
3. Не выключается, рабочий компьютер работает 24\7
4.к сожалению нет.
Самое худшее в том, что это подхватил пользователь, и эта зараза поползла на примапленые сетевые диски, и там нагадила.
локальные диски в порядке, там ничего не архивировалось

stack515
09.06.2014, 11:32
Тоже хотелось бы получить генератор.
1. Win7
2. В сон не уходит
3. На ночь выключается. При чем в день заражения получилось так, что компьютер выключили еще во время работы вируса - не успел все диски прогнать.
4. Можно попробовать, есть время получения "искового" письма, попробую поискать первый файл.

Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?

Mag1str0
09.06.2014, 11:43
Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?

Возможность есть.
опыта пока нет

stack515
09.06.2014, 11:51
[QUOTE=stack515;1124382]Mag1str0, Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)

От этих факторов зависят шансы.

1. Ось Win7x64
2. Не уходит в сон
3. Не выключается, рабочий компьютер работает 24\7
4.к сожалению нет.
Самое худшее в том, что это подхватил пользователь, и эта зараза поползла на примапленые сетевые диски, и там нагадила.
локальные диски в порядке, там ничего не архивировалось

Тогда другие вопросы: Если комп работает 24/7, то давно ли была последняя перезагрузка? по вопросу "4" почему нет? Выполнить поиск всех ".rAr" на всех примапленных дисках и упорядочить по дате создания. Ну и последний вопрос: утилита выдаст много паролей... очень много... 300-400 тысяч. Есть возможность перебрать такое количество?

- - - Добавлено - - -


Возможность есть.
опыта пока нет

Отлично!!!! Тогда расскажу как делал я - надеюсь Вам удастся повторить. Ждите - обязательно сегодня напишу!!!

Mag1str0
09.06.2014, 11:53
Спасибо.
Буду ждать

AlexSv
09.06.2014, 12:42
Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.

vaflamex
09.06.2014, 12:55
Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?
Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.

stack515
09.06.2014, 17:45
Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.
Мы делали так: в папку с кучей файлов-паролей копируем: rar.exe и любой зашифрованный файл, который переименовываем в 1.rar

Создаем файл _rar.cmd

rar.exe e 1.rar -p%1 >nul
if errorlevel 1 goto m1
echo %1>_passw.txt
:m1

Смысл этого файла такой: если пароль подставленный как аргумент _rar.cmd подходит, то создается файл _passw с этим паролем

Далее создаем _start.cmd

echo start >_start.txt
for %%i in (*) do call _rar.cmd %%i

Это пробегает по всем файлам в папке и подставляет их имена (которые является паролями) в _rar.cmd

Для ускорения процесса мы делили содержимое папки с файлами-паролями на несколько папок и процедуру проделывали в каждой одновременно.

- - - Добавлено - - -


Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.

С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).

tandem532
09.06.2014, 20:15
Уважаемый stack515, Помогите плз с генератором. у меня win7 32 , дату заражения и первый закодированый файл вычислил, заранее спасибо за помощь

thyrex
09.06.2014, 21:01
Его надо искать на всех дисках!!! Особенно на сетевых и сменных.Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов


Вы алгоритм генерации исследовали?Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса :)

А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл

AlexSv
10.06.2014, 10:51
С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).

Время запуска(перезагрузки) есть с точностью +-1 минута

и вот что от виря осталось
478398

crypts
10.06.2014, 11:06
Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?

stack515
10.06.2014, 12:17
Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов
Полностью согласен. У нас на зараженных компах был как раз примонтирован диск Z. Он пострадал больше всего. Но это спасло много файлов в локальных документах (на двух из трех компов).



Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса :)
Ага.. тут плюсов много. В том числе крайне малая вероятность переврать алгоритм.



А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл
Во... это как раз хорошо для прог которые по словарю брутфорсят. Я же сейчас пошел немного по другому пути: я сделал пакет из CMD и EXE фалов... Получился такой полуавтоматический ремкомплект )))))))))

- - - Добавлено - - -


Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?
Вот именно поэтому есть шансы!!!!

xsystem
10.06.2014, 13:10
stack515, можете дать "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени.

stack515
10.06.2014, 18:14
Всем доброго дня! "Утилита" работает стабильно.

Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
2. Мощный комп (желательно игровой комп или сервак)

Архив надо распаковать на мощный комп. Далее ОБЯЗАТЕЛЬНО прочитать файл ЧИТАТЬ.PDF. Читать внимательно, стараясь понимать зачем нужна каждая цифра! Процесс не быстрый, а результат зависит только от того, правильно ли Вы задали параметры. НЕ НАДО СЧИТАТЬ ЭТУ УТИЛИТУ ПАНАЦЕЕЙ!!!

Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.

crypts
10.06.2014, 19:52
Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.

stack515
10.06.2014, 20:35
Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.

Для этого вируса не стоит... Достаточно одного компа на Core i7 или сервака на Ксеонах

tandem532
10.06.2014, 23:42
Воспользовался методом уважаемого stack515. Все делалось на Core i7 диапазон задал 120с (+/-60), пароль определился примерно через 50-60 минут. Главное правильно задать исходные параметры.
Спасибо автору метода.

vaflamex
11.06.2014, 11:48
1. Находим ПЕРВЫЙ запакованный файл. Для этого можно воспользоваться
РЕГИСТРОЗАВИСИМЫМ поиском с маской "*.rAr", затем упорядочиваем по дате и находим
первый. !!! Но, есть способ проще: Вирус записывает себя в с:\tmp, можно посмотреть дату
и время создания файла KEY !!!

Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.

simofor
11.06.2014, 12:04
генератор рабочий!
stack515, спасибо!
PS.на ксеоне подобрал за 25 мин в 5 потоков, диапазон - 120с

tandem532
11.06.2014, 12:07
Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.

Надо брать время файла key

stack515
11.06.2014, 13:04
Всем кто использует мой пакет для перебора: Для заполнения графы "Дата первого файла" в расчете НАМНОГО ЛУЧШЕ использовать дату и время файла KEY. Это ближе к реальному времени запуска вируса и легче находить!!!

thyrex
11.06.2014, 16:08
Интервал времени для поиска находится между временем создания файлов system и key

stack515
11.06.2014, 16:26
Интервал времени для поиска находится между временем создания файлов system и key
Хм.... а ведь точно! Мало того, это время скорее даже ближе к system. Я запускал moar.exe на core i5, при этом key сформировался только через 30 секунд.

Ziroy
12.06.2014, 00:26
Всем доброго!
Ранее оставленная ссылка на скачивание:

(Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
...
Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.)

выдала "битый" архив, т.е. распаковывает с ошибкой, результат - отсутствие keygens.exe ... а спустя пару часов, решил заново скачать архив, но при обращении к ресурсу dl.dropbox.com выдает "The resource could not be found".
Прошу Вас, Уважаемые форумчане, у кого есть архив сего - залейте на куда-нибудь для скачивания ...
Пожалуйста!

Ziroy
12.06.2014, 00:29
Доброго Вам! Вышлите и мне, пожалуйста, на почту созданную Вами программу. Заранее благодарю.

vaflamex
12.06.2014, 14:16
Огромнейшее спасибо за утилиту, помогла избавиться от вирусняка!!!!

- - - Добавлено - - -

Ziroy, Сейчас проверил - нормально скачивает по старой ссылке (http://dl.dropbox.com/u/1407012/antihack_v3.zip). А файла keygens.exe в архиве и не было у меня. Прочитайте внимательно pdf файл в архиве - там подробно по шагам расписано, что нужно делать.

stack515
12.06.2014, 14:51
vaflamex, Рад что, тех, кто справился становится все больше!!!

- - - Добавлено - - -

Ziroy, В архиве должны быть следующие файлы:

antihack.exe
core
_.cmd
_bforce.cmd
_clear.cmd
_rar.cmd
_rar.exe
_start.cmd
ЧИТАТЬ!!!.pdf

PS: Бывает, что c dropbox не скачать, но это временное явление, которое быстро проходит...

bond84
12.06.2014, 15:34
Уважаемый stack515, спасибо большое за утилиту.
Одна большая просьба, не могли бы вы выложить модификацию генератора паролей, который бы заливал их в один файл, каждый пароль с новой строки?

На офисных компьютерах скорость перебора из консольных утилит довольно мала, в то время как некоторые профессиональные утилиты, типа Advanced Archive Password Recovery Professional, обещают скорость перебора по словарю до 2000 паролей в секунду.

Думаю, многие были бы вам признательны. На прочесывание диапазона в 5 минут у меня ушли сутки, пароль пока не подобрал.

stack515
12.06.2014, 15:47
Уважаемый stack515, спасибо большое за утилиту.
Одна большая просьба, не могли бы вы выложить модификацию генератора паролей, который бы заливал их в один файл, каждый пароль с новой строки?

На офисных компьютерах скорость перебора из консольных утилит довольно мала, в то время как некоторые профессиональные утилиты, типа Advanced Archive Password Recovery Professional, обещают скорость перебора по словарю до 2000 паролей в секунду.

Думаю, многие были бы вам признательны. На прочесывание диапазона в 5 минут у меня ушли сутки, пароль пока не подобрал.

У thyrex как я понимаю, есть своя версия генератора, которая как раз отлично подходит для Вашего случая. Я, к сожалению, могу только предложить слить это огромное число файлов при помощи bat файла, а это тоже не сильно быстро. Попросите, пожалуйста, уважаемого thyrex поделиться своей версией.

Если же все-таки что-то не будет получаться - я адаптирую свою утилиту под Ваш случай, но она все-равно сначала наплодит файлов, а потом сольет их в один словарь. ИМХО генератор от thyrex Вам более подходит.

bond84
12.06.2014, 16:05
Уважаемый thyrex, поделитесь пожалуйста Вашей версией генератора :sos:

- - - Добавлено - - -


У thyrex как я понимаю, есть своя версия генератора, которая как раз отлично подходит для Вашего случая. Я, к сожалению, могу только предложить слить это огромное число файлов при помощи bat файла, а это тоже не сильно быстро. Попросите, пожалуйста, уважаемого thyrex поделиться своей версией.
Был бы признателен пока и вашему предложению сливающего бат-файла, мне кажется процесс слития должен быть в разы быстрее перебора, учитывая что всё будет выполняться на уровне системных команд, а не внешних процессов, типа _rar.

- - - Добавлено - - -

stack515, это удивительно, но именно в эти минуты Вашей утилитой подобрал пароль :)
Большое спасибо еще раз за проделанную работу и пользу для человечества!

thyrex
12.06.2014, 16:44
при этом key сформировался только через 30 секундВсе дело в том, что этот файл появляется после первого найденного подходящего файла для архивирования


Уважаемый thyrex, поделитесь пожалуйста Вашей версией генератораЕсли еще актуально, то ближе к вечеру (по моему времени) попробую выложить

bond84
12.06.2014, 16:58
Если еще актуально, то ближе к вечеру (по моему времени) попробую выложить

Мне уже не актуально, но думаю другим пользователям будет полезно, для возможности увеличения скорости перебора.

stack515
12.06.2014, 18:52
Все дело в том, что этот файл появляется после первого найденного подходящего файла для архивирования
Так глубоко я не копал. )))) Думал что это время работы bm.cmd...


Если еще актуально, то ближе к вечеру (по моему времени) попробую выложить
thyrex, выложите, пожалуйста, в любом случае. Тем, кто будет пользовать софт для подбора пароля по словарю будет актуально.

- - - Добавлено - - -


stack515, это удивительно, но именно в эти минуты Вашей утилитой подобрал пароль :)
Большое спасибо еще раз за проделанную работу и пользу для человечества!
Рад, что у Вас все благополучно завершилось!

thyrex
12.06.2014, 21:16
Думал что это время работы bm.cmdТак оно и есть. Но запускается он именно в том случае, о котором я писал


выложите, пожалуйста, в любом случаеhttp://rghost.ru/56339500
Писалось на коленке, потому и названия компонентов не менялись (уж не обессудьте :))

Пользоваться просто: задаем начальное значение счетчика (первое окно ввода), конечное значение (второе окно ввода), нажимаем кнопку. В нижнем окне видим прогресс (т.е. значение, для которого сейчас генерируется ключ).

После завершения ключи сохраняются в файл вида <нач_знач>-<кон_знач>.txt в папке с программой

P.S. Помните, что слишком большой диапазон задавать не стоит. Во-первых, это увеличивает время работы, во-вторых, размер файла с ключами получится большим

stack515
13.06.2014, 08:22
Так оно и есть. Но запускается он именно в том случае, о котором я писал
Вообще странное программное решение

icon80
13.06.2014, 10:49
Добрый день!
Помогите пожалуйста настроить генератор товарища stack515.
У меня вин хп, в папке c:/tmp посмотрел дату файла key, Дата в логах винды есть тоже, это время включения компа я так понял... А вот время работы в сек. в логах нет, как его высчитать или где посмотреть подскажите пожалуйста.

stack515
13.06.2014, 11:49
Добрый день!
Помогите пожалуйста настроить генератор товарища stack515.
У меня вин хп, в папке c:/tmp посмотрел дату файла key, Дата в логах винды есть тоже, это время включения компа я так понял... А вот время работы в сек. в логах нет, как его высчитать или где посмотреть подскажите пожалуйста.
с WinXP все плохо!!! Но попробовать всегда можно. Для этого ответьте на вопросы:
1. Выключается ли компьютер на ночь? Точнее так: В день заражения компьютер был включен или работал до этого несколько дней подряд?
2. Не входит ли компьютер в сон?

Для XP важно найти точное время запуска той загрузочной сессии в которой было заражение. Например, в том же журнале, тем же точно способом можно постараться найти время запуска службы журнала событий.
478772
Это время использовать в качестве "Даты в логах". Время работы поставить 20 сек. При этом я крайне не советую делать интервал меньше. Скорее наоборот... Если не получится или будут вопросы - пишите в тему.

icon80
13.06.2014, 11:57
с WinXP все плохо!!! Но попробовать всегда можно. Для этого ответьте на вопросы:
1. Выключается ли компьютер на ночь? Точнее так: В день заражения компьютер был включен или работал до этого несколько дней подряд?
2. Не входит ли компьютер в сон?

Для XP важно найти точное время запуска той загрузочной сессии в которой было заражение. Например, в том же журнале, тем же точно способом можно постараться найти время запуска службы журнала событий.
478772
Это время использовать в качестве "Даты в логах". Время работы поставить 20 сек. При этом я крайне не советую делать интервал меньше. Скорее наоборот... Если не получится или будут вопросы - пишите в тему.

1. Компьютер выключается на ночь, это офисный комп, есть в логах время сессии как у тебя на скрине (дата и время).
2. Комп не засыпает, человек приходит в 9 утра включает компьютер, работает и в 6-7 вечера его выключает.

Время в логах системы 9.18 утра, время файла key - 13.19. Надо рассчитать сколько секунд работал комп с момента включения до начала работы вируса или как?

и зазор перед и зазор после что ставить?

stack515
13.06.2014, 12:03
icon80, еще, пожалуйста, посмотрите разницу между временем создания файлов key и system (не путать с psystem) и напишите эту разницу сюда.

- - - Добавлено - - -


1. Компьютер выключается на ночь, это офисный комп, есть в логах время сессии как у тебя на скрине (дата и время).
2. Комп не засыпает, человек приходит в 9 утра включает компьютер, работает и в 6-7 вечера его выключает.
Это очень хорошо для этого случая! Шансы есть.


Время в логах системы 9.18 утра, время файла key - 13.19. Надо рассчитать сколько секунд работал комп с момента включения до начала работы вируса или как?
Это утилита сама рассчитывает. Итак я бы внес:
Дата в логах: дд.мм.гггг 09:18:00
Время работы: 20 (если комп шустрый - можно 10)
Дата первого файла: дд.мм.гггг 13:19:00
где дд.мм.гггг - дата (указывать ОБЯЗАТЕЛЬНО)

icon80
13.06.2014, 12:06
попутал немного время,
файл key - 13:44
файл system - 13:43

комп не очень шустрый, офисный ), сервак пока не могу загружать, оставлю на выходные на подбор его просто...

stack515
13.06.2014, 14:29
попутал немного время,
файл key - 13:44
файл system - 13:43

комп не очень шустрый, офисный ), сервак пока не могу загружать, оставлю на выходные на подбор его просто...
Ага.. все нормально. Можно попробовать "зазоры" оставить как есть 240 и 60 (ну или 300 и 80 раз все-равно Вы хотите на несколько дней оставить). Но на офисном компе подбирать будет долго....

Ну а время первого файла любое из двух 13:43 или 13:44 (или взять среднее).

- - - Добавлено - - -

icon80, Для XP я на скорую руку написал прогу для определения значения "времени работоспособного состояния" при старте винды.

Всем у кото WinXP:

=== Это только для WinXP!!! === Это только для WinXP!!! ===
1. Скачиваем прогу: http://dl.dropbox.com/u/1407012/gettc.zip
2. Загружаем или перезагружаем (желательно) ТОТ КОМП НА КОТОРОМ БЫЛО ЗАРАЖЕНИЕ.
3. Запускаем на НЕМ прогу.
4. При старте появится окно:
478789
5. После запуска верхние два поля заполнятся автоматом. В третье надо внести дату и время запуска "службы журнала событий" из журнала винды. Вводить полностью: дд.мм.гггг чч:мм:сс
478788
6. Затем нажать "Рассчитать время".
7. В самом нижнем окне появится значение, которое я бы рекомендовал вставлять в качестве времени работы в генератор паролей. Для XP ориентировочно это число может быть от 5 до 200 сек. Если Вы получили тысячи - скорее всего это не верно
=== Это только для WinXP!!! === Это только для WinXP!!! ===

icon80
13.06.2014, 15:06
у меня -88095 получилось...

stack515
13.06.2014, 15:24
у меня -88095 получилось...
В этот калькулятор (только в этот) надо вводить текущие значения. То есть если Вы запускаете его сейчас, то надо в логах найти дату и время сегодняшнего последнего запуска.

А вот в генератор паролей - все как обычно, все как я писал до этого...

icon80
13.06.2014, 15:42
Спс большое за помощь! получилось 21, зарядил на выходные, надеюсь все получится.

stack515
13.06.2014, 15:54
Спс большое за помощь! получилось 21, зарядил на выходные, надеюсь все получится.

Ну вот как раз, как я писал до этого, что можно было просто забить туда число 20 )))) Если не затруднит, напишите, пожалуйста, еще разок с какими параметрами запускали генератор паролей.

icon80
13.06.2014, 16:01
Дата в логах - указал дату и время с секундами, которое было указано в логе евент.
Время работы - 21 сек
Дата первого файла - указал время создания файла key, папка system была с таким же временем, только секунды другие чуть.
Зазор перед - 300
Зазор после - 80

stack515
13.06.2014, 16:24
Дата в логах - указал дату и время с секундами, которое было указано в логе евент.
Дату и время в день заражения!... так?

PS: Я просто хочу быть уверенным, что все правильно... в XP получается более запутанный процесс...

icon80
13.06.2014, 16:36
Да, дату в день заражения ставил.

stack515
13.06.2014, 16:42
Да, дату в день заражения ставил.
Тогда все должно получиться!

thyrex
14.06.2014, 23:46
Время создания файла system - 21.03.57
Время создания файла psystem - 21.04.18
Навскидку получается, что время до начала генерации пароля не превышает 20 секунд (и это даже с избытком)

Так что диапазон перебора не так уж и велик

- - - Добавлено - - -

Похоже, что на семерке и выше время запуска службы журнала событий можно увидеть точно так же, как и в Хрюше
Панель управления - Администрирование - Просмотр событий

stack515
15.06.2014, 19:47
Время создания файла system - 21.03.57
Время создания файла psystem - 21.04.18
Навскидку получается, что время до начала генерации пароля не превышает 20 секунд (и это даже с избытком)
Так что диапазон перебора не так уж и велик
Не факт. Содержимое psystem замещается содержимым файла key... не и дата/время в этом случае такие же как и у key. Файл key появляется после нахождения первого пригодного для архивирования файла. А этот файл может быть найден и через 40 сек, если машина слабая + на таких компах время генерации key может быть больше. Так что интервал system psystem может быть разным. Я вроде у себя на компах все стер, так что не могу посмотреть как у меня было.


Похоже, что на семерке и выше время запуска службы журнала событий можно увидеть точно так же, как и в Хрюше
Панель управления - Администрирование - Просмотр событий
Да, конечно, в w7 совершенно точно есть время запуска EventLog. Только вот этот способ менее точный. Вернее сказать - этот способ ужасно не точный, потому что в этой записи нет времени работы!!! Вот пара примеров:
1. WinXP, celeron: 21 сек в момент запуска EventLog
2. W7 (core i7, мой ноут): 114 сек в момент запуска EventLog
3. W7 (core i5, один из рабочих компов): 17 сек в момент запуска EventLog
ну и тд. Разница большая. Так что в W7 точнее основным методом считать.

thyrex
15.06.2014, 22:10
Не факт:)
Я же написал

Время создания, а не замещения другим содержимым

stack515
15.06.2014, 22:17
:)
Я же написал
, а не замещения другим содержимым
а.... извини, не внимательно прочел :) Тогда вообще все просто: psystem создается точно в момент запуска moar.exe - проверено, так как у меня весь keygen на этом основан :) Там же сразу на Entry Point: Взять getTickCount, затем сгенерить пароль, затем создать psystem. Так что время создания psystem можно считать временем запуска moar.exe... с одним, НО. Оно будет до секунд...

thyrex
15.06.2014, 23:06
Это понятно. Уходит время загрузку, генерацию пароля, сохранение. Потому я и писал, что промежуток с избытком составляет 20 секунд, а это всего 20000 мс (паролей). Вся загвоздка в более-менее точном определении начального значения счетчика

stack515
15.06.2014, 23:25
Это понятно. Уходит время загрузку, генерацию пароля, сохранение. Потому я и писал, что промежуток с избытком составляет 20 секунд, а это всего 20000 мс (паролей). Вся загвоздка в более-менее точном определении начального значения счетчика
Это да... вот тут как раз спасает W7 где в логах есть таймстемп и соответствующее ему время работы. Некоторые участники этой темы ставили интервал +/- 60 сек и быстро находили свои пароли. Как я понимаю - это те, у кого W7. С XP дела чуть хуже.

thyrex
16.06.2014, 01:11
С XP я предполагаю интервал до записи события о запуске службы логирования - до 30 секунд. У меня от 25 до 27 где-то идет

stack515
16.06.2014, 10:02
С XP я предполагаю интервал до записи события о запуске службы логирования - до 30 секунд. У меня от 25 до 27 где-то идет

Согласен! Среднестатистически это около 25 сек... и на W7 и на XP. У меня на ноуте просто стоит огромное количество разработческого и тестового софта. Поэтому, не смотря на core i7 и 8 гигов памяти грузится он до запуска EventLog около 2 минут.

В сообщении #60 я давал ссылку на прогу, которая позволяет определить хотя бы примерно эту цифру. Актуально только для XP, но я запускал на своей W7 и результаты совпали с событием 6013 при запуске винды.

nedes
16.06.2014, 15:37
Добрый день! EventLog Код события 6013 время 03.06.2014 13:22:46
Время работоспособного состояния 57857 сек.
- я все правильно понял, что именно 57857 сек указывать или все-таки 20-30?
Время создания файла key 03.06.2014 16:16

stack515
16.06.2014, 16:33
Добрый день! EventLog Код события 6013 время 03.06.2014 13:22:46
Время работоспособного состояния 57857 сек.
- я все правильно понял, что именно 57857 сек указывать или все-таки 20-30?
Время создания файла key 03.06.2014 16:16

Все верно! надо указывать 57857. Разговор по 20 сек идет в отношении WinXP.

yarmar
17.06.2014, 09:29
stack515, Уважаемый !!! Благодаря твоему методу один ПК с XP восстановлен. Со вторым нужна помощь. Время задержки в секундах минус 59 (из-за синхронизации с доменным временем) Сколько надо ставить зазоры или передвинуть время первого файла? Спасибо.

stack515
17.06.2014, 12:49
stack515, Уважаемый !!! Благодаря твоему методу один ПК с XP восстановлен. Со вторым нужна помощь. Время задержки в секундах минус 59 (из-за синхронизации с доменным временем) Сколько надо ставить зазоры или передвинуть время первого файла? Спасибо.
Один восстановлен - это замечательно!!! Теперь второй. "минус 59" - это значение из проги в сообщении #60? Если да, то надо перезагрузить комп еще раза два и повторить процедуру вычисления этого интервала. Напишите, пожалуйста, результаты.

yarmar
17.06.2014, 14:06
Более подробнее примерно вот такая картина. Сразу же после запуска утилита показывает 20 сек. Как и положено. Но потом в логах видно, что произошла синхронизация времени с контроллером домена. И утилита показывает -59. Пока методом подбора я запустил перебор паролей. О результатах отпишусь.

icon80
17.06.2014, 14:57
С помощью генератора stack515 получилось подобрать пароль, Вин ХП.
Спасибо большое!!!

yarmar
17.06.2014, 15:31
Взял начальный параметр 180 конечный 0 .Пароль вычислился за пару часов. Stack515, ещё раз огромнейшее тебе спасибо!

stack515
17.06.2014, 15:39
Взял начальный параметр 180 конечный 0 .Пароль вычислился за пару часов. Stack515, ещё раз огромнейшее тебе спасибо!
Отлично!!!

ykar
17.06.2014, 20:46
Отлично!!!

Спасибо огромное, у меня тоже получилось, меньше 2х часов на Xeon e5645.

DuDDiTs
17.06.2014, 23:37
Добрый вечер!
Пытаюсь разобраться с утилитой уважаемого stack515, запускаю start.cmd появляется окно, где написано нажмите любую клавишу, нажимаю и ничего не происходит. Если запустить antihack вручную, то появляется окно как в файле ЧИТАТЬ, куда необходимо вводить данные. Подскажите плиз как правильно. Заранее спасибо!

iriider
18.06.2014, 09:36
С помощью генератора stack515 получилось подобрать пароль, Win 7, (защифровал сетевую шару)
Спасибо ОГРОМНОЕ!!!

stack515
18.06.2014, 10:11
icon80, yarmar, ykar, iriider Рад за всех вас! Просматривайте, пожалуйста, еще какое-то время эту тему. У вас уже есть опыт и, возможно, вы сможете кому-нибудь помочь.

- - - Добавлено - - -


Добрый вечер!
Пытаюсь разобраться с утилитой уважаемого stack515, запускаю start.cmd появляется окно, где написано нажмите любую клавишу, нажимаю и ничего не происходит. Если запустить antihack вручную, то появляется окно как в файле ЧИТАТЬ, куда необходимо вводить данные. Подскажите плиз как правильно. Заранее спасибо!

DuDDiTs, Окно с надписью "Нажмите любую клавишу..." появляется в том случае если в папке нет файла 1.rAr. Проверьте, пожалуйста, точно ли Вы следовали инструкции.

DuDDiTs
18.06.2014, 10:59
stack515, спасибо большое за быстрый ответ!
Файл 1.rAr есть, я уже пробовал разные файлы архивные переименовывать, start.cmd пишет нажмите любую клавишу...может быть я не в то место распаковываю архив с Вашей утилитой? Или не важно где папка с утилитой находится?

stack515
18.06.2014, 11:27
stack515, спасибо большое за быстрый ответ!
Файл 1.rAr есть, я уже пробовал разные файлы архивные переименовывать, start.cmd пишет нажмите любую клавишу...может быть я не в то место распаковываю архив с Вашей утилитой? Или не важно где папка с утилитой находится?
Странно... папка может быть любая, очень желательно не сетевая. Ну и запускать _start.cmd лучше из нее напрямую, а не через ярлык. Можно проверить права на файлы, если в системе есть разграничения прав. Можно поступить так: запакуйте свою папку, выложите куда-нибудь (например на rghost), а я скачаю - гляну что не так.

DuDDiTs
18.06.2014, 11:42
Странно... папка может быть любая, очень желательно не сетевая. Ну и запускать _start.cmd лучше из нее напрямую, а не через ярлык. Можно проверить права на файлы, если в системе есть разграничения прав. Можно поступить так: запакуйте свою папку, выложите куда-нибудь (например на rghost), а я скачаю - гляну что не так.
Посмотрите пожалуйста http://rghost.ru/56443247

stack515
18.06.2014, 11:56
Посмотрите пожалуйста http://rghost.ru/56443247

Вот что у Вас получилось:
479477

Это происходит потому что Ваша система не отображает расширений файлов. То есть при переименовывании винда сама добавит .rAr к имени файла. Следовательно надо переименовать его как "1" (без .rAr)

DuDDiTs
18.06.2014, 12:19
Вот что у Вас получилось:
479477

Это происходит потому что Ваша система не отображает расширений файлов. То есть при переименовывании винда сама добавит .rAr к имени файла. Следовательно надо переименовать его как "1" (без .rAr)
Спасибо большое!
Если можно подскажите плиз еще по интервалам временным, правильно ли я все понял.
У меня дата файла key в папке tmp ‎04.06.2014 ‏‎0:23:03
EventLog в событиях 04.06.2014 0: 20 :18
Время работы отображается 87105 сек
Достаточно ли будет интервалов -60/+60?

stack515
18.06.2014, 13:36
Спасибо большое!
Если можно подскажите плиз еще по интервалам временным, правильно ли я все понял.
У меня дата файла key в папке tmp ‎04.06.2014 ‏‎0:23:03
EventLog в событиях 04.06.2014 0: 20 :18
Время работы отображается 87105 сек
Достаточно ли будет интервалов -60/+60?
Тут могу только сказать, что многие на Win7 использовали интервал +/-60 удачно.

- - - Добавлено - - -

DuDDiTs, Архив правда какой-то странноватый... 114 байт. Так что если не получится - предлагаю взять другой.

DuDDiTs
18.06.2014, 13:37
запустить получилось, после того как закрыл графическое окно появилось около 7-8 окон командной строки, в которых бежали строки, потом они все остановились в низу надпись already exists. Оverwrit it и предлагалось выбрать Y (Yes), N (No), A (all), Q (quit). Нажал А, после этого появился в папке с утилитой текстовый файл, который подошел к переименованному файлу, к другим не подходит. Я так понимаю необходимо каждый заархивированный файл прогонять через утилиту? Или я что-то неправильно сделал?

stack515
18.06.2014, 13:44
DuDDiTs, Для проверки архива запустил у себя.... 100% надо другой!!!

- - - Добавлено - - -


запустить получилось, после того как закрыл графическое окно появилось около 7-8 окон командной строки, в которых бежали строки, потом они все остановились в низу надпись already exists. Оverwrit it и предлагалось выбрать Y (Yes), N (No), A (all), Q (quit). Нажал А, после этого появился в папке с утилитой текстовый файл, который подошел к переименованному файлу, к другим не подходит. Я так понимаю необходимо каждый заархивированный файл прогонять через утилиту? Или я что-то неправильно сделал?
Просто архив битый. Надо другой

DuDDiTs
18.06.2014, 13:47
пробую другой, я только до конца так и не понял какой должен быть результат, утилита должна выдать пароль который будет подходить ко всем заархивированным файлам?

stack515
18.06.2014, 13:48
пробую другой, я только до конца так и не понял какой должен быть результат, утилита должна выдать пароль который будет подходить ко всем заархивированным файлам?
Да... в папке должен появится файл _passw.txt в котором будет пароль ко всем архивам.

PS: Во второй раз утилита при запуске _start.cmd будет тупить минуты две.

DuDDiTs
19.06.2014, 00:38
Благодаря stack515, и его утилите все подобралось. Огромное Вам спасибо за помощь! Очень приятно, что есть отзывчивые люди, которые помогают в беде!:)

stack515
19.06.2014, 09:07
Важное дополнение!

На примере ситуации у DuDDiTs убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.

ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН, то нужно пользоваться способом как для XP или следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.

nedes
19.06.2014, 10:10
Важное дополнение!

На примере ситуации у DuDDiTs убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.

ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН, то нужно пользоваться способом как для XP или следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.

Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005! :(
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.

stack515
19.06.2014, 13:56
Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005! :(
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?
Просто так угадывать цифры не стоит...
Попробую помочь: мне надо видеть Ваш лог. Для этого на журнале "система" жмем правой кнопкой, затем "сохранить все события как". Далее выкладываем этот файл на любой файлообменник (например rghost) и кидаем сюда ссылку.

- - - Добавлено - - -


Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005! :(
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.
Нет! Нет!!!! День после - это не то!!!! Надо ДО! По Вашему логу момент загрузки 01.06.2014 19:51:51. Там два события в одну секунду: 6005 и 6013 (со значением 55 сек). Вот это и надо использовать как время в логах в Вашем случае!!!

DuDDiTs
19.06.2014, 15:12
Еще раз спасибо Уважаемому stack515, !!!!:)

stack515
19.06.2014, 15:46
Еще раз спасибо Уважаемому stack515, !!!!:)
Рад, что все хорошо закончилось! :)

nedes
19.06.2014, 20:31
1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!! :clapping: :clapping: :clapping:

stack515
19.06.2014, 22:31
1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!! :clapping: :clapping: :clapping:
Отлично! Рад за Вас! Все верно. Надо все делать как раз не спеша, так как от точности параметров введенных в программу зависит успех!!!

AlexSv
23.06.2014, 11:19
Огромное спасибо Уважаемому stack515. ( пароль найден )

Alex8282
23.06.2014, 13:14
Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????

stack515
23.06.2014, 14:21
Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????

Хм... На первый взгляд - все так.

- Попробуйте найти все-таки папку c:\tmp, если ее нет - надо постараться понять куда она могла пропасть. в ней должен быть файл key.

- 20.05 - это ближайшая перезагрузка?

- Как я понял в WS2008 нет события 6013?

- Долго ли грузится комп? Попробуйте утилиткой из сообщения #60 проанализировать значение таймера в момент события 6005.

- Какой разброс стоит в программе. Советую расширить. Если позволяет мощность - значительно расширить. (например -600 +300)

Alex8282
23.06.2014, 15:11
c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
20.05 это ближайшая...
WinSer2008 есть событие 6013
Имя журнала: System
Источник: EventLog
Дата: 02.06.2014 12:00:00
Код события: 6013
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Время работоспособного состояния 1120229 сек.
ДЛя чего нужен????
Файл так и называется key? а расширение?
Key поиск не находит

- - - Добавлено - - -

480549

Скорей всего оно не верно

С датой 20.06.2014 получил значение 104 что с ним делать??

stack515
23.06.2014, 16:04
c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена


Стоп!!! Стоп!!!! Вы хотите сказать что это не тот компьютер на котором было заражение?

Скажу пару слов о работе вируса: Вирус для генерации пароля использует число миллисекунд, которые прошли с момента запуска компьютера до момента заражения!

Вам необходимо найти компьютер, который это зашифровал!

Искать его, кстати можно, именно по присутствию папки c:\tmp с соответствующим содержимым. Файлы moar.exe, key, psystem, system, testz, driver.bat, bmrsa.exe и т.д.

Alex8282
23.06.2014, 17:04
я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???

stack515
23.06.2014, 18:11
я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???

Подбирать можно на любом, НО дату и время в логах надо брать от ЭТОГО КОМПА!. Ну и дату/время key файла из c:/tmp естественно с него же...

Какая ОС не нем?

Alex8282
24.06.2014, 12:05
win7 64 кей от 03.06 а EventLog тоже надо брать от 03.06 с того компа который был заражен?

thyrex
24.06.2014, 12:13
Именно так

Alex8282
24.06.2014, 12:30
А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53

stack515
24.06.2014, 12:54
А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53

Надо искать события ДО заражения! Если 6005 и 6009, то оно может быть вообще в мае. Или найти событие 6013 от 03.06.2014 (обычно в 12-00) и взять его за основу, но ТОЛЬКО в том случае если этот компьютер не входит в сон!

Если возникают проблемы, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку.

sandro206
25.06.2014, 19:38
Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7

stack515
25.06.2014, 19:57
Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7

Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.

sandro206
25.06.2014, 20:15
Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.
наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.

stack515
25.06.2014, 20:40
наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.

Логи с 4 июня? весьма странно... может фильтр какой-нибудь применен? Если есть желание, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку (или в личку киньте).

В общем, надо определить время запуска компа в тот день... без этого не найти пароль.

PrOxOr
26.06.2014, 16:16
stack515, Время создания файла Key 03.06.2014 17:01:56, событие EventLog 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?

stack515
26.06.2014, 16:53
stack515, Время создания файла Key 03.06.2014 17:01:56, событие EventLog 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?
Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?

PrOxOr
26.06.2014, 17:27
Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)? Последний EventLog 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.

stack515
26.06.2014, 17:42
Последний EventLog 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.
Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать 6005,6013,6009,6006 ... и сразу будет видно какое событие 6005 было последнее ПЕРЕД заражением!

PrOxOr
26.06.2014, 18:34
Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать 6005,6013,6009,6006 ... и сразу будет видно какое событие 6005 было последнее ПЕРЕД заражением!

То есть я правильно понял? Время работы берем из 6013, а Дату из 6005(он один на это число)

stack515
26.06.2014, 19:01
То есть я правильно понял? Время работы берем из 6013, а Дату из 6005(он один на это число)

У Вас в логах будет такая картина: подряд в одну секунду три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая ДО заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.

PrOxOr
26.06.2014, 19:14
У Вас в логах будет такая картина: подряд в одну секунду три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая ДО заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.

Все нашел, написано 30000 паролей. Это нормально?

stack515
26.06.2014, 19:33
Все нашел, написано 30000 паролей. Это нормально?

По скриншоту - все нормально. Соответственно в программе должно быть:
Дата в логах: 03.06.2014 14:30:12
Время работы: 18
Дата первого файла: 03.06.2014 17:01:56
Зазоры до и после лучше не трогайте.

Паролей у вас должно быть 300 000 (ноликом Вы ошиблись). Это нормально!

У многих людей находился пароль и в интервале 60 60... это всего 120 000 паролей, но больше риск промахнуться и начать все заново

thename
27.06.2014, 08:40
Ребята, всем спасибо. Отдельное спасибо stack515 за программку. Подобрал пароль за 4 часа (пень i7). Заражение было на windows xp.

lacosst
09.07.2014, 18:31
Подскажите пожалуйста, машина на которой идет подбор на Xeone под Win s12 r2

время лога 12:00:51
время первого файла 14:48:14
работа 9365 сек

подбирает уже больше часа, это нормально?

thyrex
09.07.2014, 18:54
Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833

Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование

lacosst
09.07.2014, 19:47
Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833

Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование



У меня такая же проблема, сейчас подбираю пароль по методу описанному в этой теме, как понимаю шансы на успех маловероятны?((

Никита Соловьев
10.07.2014, 02:26
Ключ генерируется на основе позиции курсора мыши
Где-то тут такую идею я уже видел. Уже приняли на вооружение. :)

stack515
10.07.2014, 11:28
Где-то тут такую идею я уже видел. Уже приняли на вооружение. :)

Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))

drumbass
10.07.2014, 11:32
приветствую всех, хана словили у нас один такой же последний вирус c:\tmp\bmrsa.exe
В их текстовике рядом с зашифрованными файлами внизу какой то код

thyrex
10.07.2014, 13:42
сейчас подбираю пароль по методу описанному в этой темеНе поможет, ибо метод генерации ключа принципиально иной


c:\tmp\bmrsa.exeС его помощью ключ архивирования шифруется


А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)?Возможно. Я тупо извлек файлы из самораспаковывающегося архива.
Начинаю исследование. Ждите статью в новой теме

lacosst
10.07.2014, 14:03
Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))


http://virusinfo.info/showthread.php?t=162848

q2ker
10.07.2014, 14:18
А из той информации, что находиться в файле !!Файлы зашифрованы.txt можно что-то получить? Сами злоумышленники ведь быстро расшифровывают файлы.
Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?

thyrex
10.07.2014, 15:32
Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?Именно так

q2ker
10.07.2014, 15:52
чтоб им сдохнуть, тварям.

Словил новую версию, не знаю что делать, переборщик паролей показал год переборки 65 знаков

drumbass
10.07.2014, 16:35
ТП drweb просит файл drivers.000. Мол без него расшифровка невозможна. Просканил ЖД по быстрому нет такого файла.

thyrex
10.07.2014, 18:54
Читаем исследование новой версии http://virusinfo.info/showthread.php?t=162915&p=1135727

drumbass
11.07.2014, 09:40
не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты

q2ker
11.07.2014, 10:07
Ничего, юзерам урок будет чтобы не открывали что попало из почты
1 Если бы стоял нормальный антивирус не былобы такого - это не его вина
2 Если пользователю не были даны четкие инструкции что стоит делать, что нет - это не его вина
3 Если не настроен спам контроль и проверка почты до попадания в ящик пользователя - это не его вина

drumbass
11.07.2014, 11:30
1. стояло и два, симантек и софос на шлюзе - оба пропустили
2. инструкции может и не четкие но были, тут уж элементарно думать надо было
3. ящик был провайдерский, спам контроль у них же. Как оно там прошло я хз

PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ? Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar

q2ker
11.07.2014, 14:57
PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ? Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar
В ХП есть в поиске, в дополнительно - с учетом регистра
В 7 - поиск урезанный, пользуюсь http://www.fileseek.ca/Download/

drumbass
11.07.2014, 16:24
в XP он в имени файла регистр смотрит, расширение ему по барабану. В 7 спасибо , потом пригодится. Сейчас эти "добрые" ребята сами прислали утилиту для удаления таких файлов и опять извинились :D Ну просто няшки....

thyrex
11.07.2014, 19:48
Ну просто няшки....Видимо, прочли здесь о Ваших проблемах )))

Jinu
22.07.2014, 04:19
не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты
Даров. Какие файлы вы им отправили, чтобы вам прислали пароль?