PDA

Просмотр полной версии : Старый знакомый, создающий архивы .raR



thyrex
01.08.2014, 15:40
Хочу сразу предупредить, что по сравнению с предыдущей версией (http://virusinfo.info/showthread.php?t=162915) особых изменений нет, поэтому распишу просто назначение используемых компонентов вируса, которые по прежнему извлекаются в папку c:\tmp.

Итак, что мы имеем в этот раз.

Примеры тем
http://virusinfo.info/showthread.php?t=164018
http://virusinfo.info/showthread.php?t=164034
http://virusinfo.info/showthread.php?t=164059

Механизм распространения: остался прежним – вложение (дроппер) к электронному письму.

Известные имена дроппера

Исковое заявление поданное в суд.cmd – просто переименованный самораспаковывающийся архив, который Лаборатория Касперского детектирует, как Trojan-Ransom.Win32.Agent.icz (Trojan.Encoder.556 по DrWeb)


Шифруемые файлы (на всех логических дисках, список расширений находится в файле shapka)
.jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.t if.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb .xml.XML.xls.XLS.dwg.DWG.mdf.MDF.mdb.MDB.zip.ZIP.r ar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db.adp.ADP .wdb.pdm.PDM.ppt.crw.dxg.ptx.pst.raf.pdd.mdf.srw.r aw.mcd

Для работы вирус использует консольную версию архиватора WinRar 5.0

Послание от авторов записывается в файлы с именем !Фaйлы зaшифpовaны.txT следующего содержания
сли всe фaйлы зaшифpoвaны и файлы превратились в rAR архивы, то стоимость pacшифpовки 10.000 рyблей.
Для того, чтобы расшифровать файлы пришлите на указанный ниже e-mail два файла.
1) В каждой директории содержится файл !password , пришлите его
2) Один любой зашифрованый файл небольшого размера (с расширением raR)
Файлов !password может быть несколько в одной директории, тогда присылайте все
Обратно Вам придет расшифрованный файл и инструкция по оплате. Расшифрованный файл является
подтверждением того, что возможно расшифровать все данные.

После оплаты Вам придет пароль на архивы и программа-расшифровщик, которая расшифрует все файлы.
Файл !password содержит непонятные для Вас символы. Не удаляйте его. Без данных йероглифов расшифровка невозможна.
Данные йерогливы - это зашифрованный текст в котором хранится Ваш пароль.

e-mail для связи: ant@lelantos.org

Ответ на Ваше письмо придет в течение 1-24 часов.

Если Вам не приходит ответ больше 24 часов - отправьте свой e-mail для связи (без отправки файлов) на адрес
ant@sigaint.org
Вам придет письмо с инструкцией

Теперь о компонентах.


1. Запускает файл hel.exe.
2. Если файл symbol.thy существует, завершает свою работу.
3. Если файл symbol.thy не существует, то запускается файл !!.cmd.
4. Спустя 5 секунд происходит чтение содержимого symbol.thy (о нем ниже).
5. Оно склеивается со строками rr и .exe, после чего запускается файл с полученным таким хитрым способом именем


Вся роль этого файла сводится к выводу липового сообщения об ошибке Winword

Ошибка в файле или файл испорчен


Создает файл symbol.thy, в который записывает символ r, как признак уже запущенного шифровальщика.



Запускает на выполнение файл c:\tmp\genr.cmd



Поочередно запускает файлы genpwd, genhex, genrsa, moar. О работе каждого из них ниже по тексту.


1. C задержкой в 2014 мс получает 16 значений координат курсора мыши.
2. Записывает полученную инфоррмацию длиной 32 байта в файл thy


1. Читает содержимое файла thy в память.
2. Побайтно переводит каждый символ в его 16-тиричное представление.
3. Сохраняет полученный результат (уже 64 байта) в тот же самый файл.



1. Запускает процесс ssencrypt.exe public.key thy, который шифрует содержимое файла с паролем по алгоритму RSA публичным ключем из файла public.key.
Зашифрованный пароль хранится в файле thy.ss

(1791076836467329262400163209376697118411983789641 74765516217223757562128963538866056425676893749599 79953915750386222420733301077090425377061153752575 24825330785958094033150352152181099186360981987052 40847047524754603323804331585680130391268474397854 77173695901094666468834302981425770833495400436917 93931652918001097057769829988374800282165047698257 55306239336560887950320701029141717287374000314636 60084568185641965322579763805189363490630183362454 51392027404877772151819959697577811793890400625119 90373719448765487216747144228441473847646983324064 59027474368796311471648395785164971583301918303790 633525726012322727,65537)


1. Происходит чтение в память содержимого thy, после чего файл перезаписывается мусором, усекается до нулевой длины и удаляется.
2. С использованием счетчика времени работы системы генерируется новое имя файла для хранения зашифрованного пароля архивирования. Файл имеет вид !password + ХХХХХ (где ХХХХХ – символы, полученные на основании значения счетчика).
3. Дополнительно выделяется область памяти в 1048576 байт (заполнена, конечно же, символами с кодом 0).
4. Происходит поиск и архивирование файлов
4.1 Происходит чтение из файла shapka попадающих под архивацию расширений файлов
4.2 Генерируется и запускается на выполнение команда архивирования, которая слегка отличается от предыдущей версии (отсутствует ключ -dw)

rar.exe a -ep1 -p<ключ> <имя.raR> <имя>где
а – добавить в архив
-ep1 – исключить базовую папку из пути
4.3 Оригинальный файл забивается символами из выделенной области памяти, усекается до нулевого размера и удаляется.
4.4 В папку с заархивированным файлом сохраняется сообщение вымогателя.
4.5 Сюда же копируется содержимое файла thy.ss

Оценка возможности разархивирования:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы moar.exe пароль;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;

- невозможна:
-- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.

Баклажан
02.08.2014, 11:38
Добрый день!

Словил этот вирус.
Возможно глупый вопрос: есть ли шанс подобрать пароль, есть сохранились оригиналы заархивированных файлов (в резервной копии)?

thyrex
02.08.2014, 15:34
Оригиналы ничем не помогут

alex1650
04.08.2014, 08:11
А есть ли возможность расшифровать файл с паролем?
Какой программой? Скриптом?
Я понимаю что возможно. Интересуют временные затраты и чем именно и как расшифровывать.

thyrex
04.08.2014, 10:26
Почитайте про RSA-шифрование, посмотрите длину публичного ключа, сам ключ и предложите быстрый способ его факторизации на два простых числа. Вопросы отпадут сами собой :)

Константин 1981
04.08.2014, 11:24
Что делать с файлами и как избавится от вируса?

thyrex
04.08.2014, 12:11
как избавится от вируса?Он тихо-мирно лежит себе в указанной в первом сообщении папке. Даже в автозагрузку при старте не прописывается


Что делать с файлами1. Удалить, если они не нужны
2. Восстановить из резервных копий, если они есть и находятся на носителях, не подключенных к компьютеру в момент шифрования
3. Перебирать пароли (и жизни может не хватить)
4. Обращаться к злоумышленникам

Увы

Константин 1981
04.08.2014, 12:30
Понял. Как его удалить из этой паки. Прогнал в безопасном режиме Вашими программами и Нодом. Пишут что нет вирусов на компьютере. Можно на нем работать?

thyrex
04.08.2014, 12:54
Просто удалите эту папку

alex1650
04.08.2014, 15:23
А уверены что способ распространения вложением?
Я перерыл весь архив с входящей почтой и не нашёл писем со странным вложением за период активности вируса.
Единственное что нашёл - это письмо-спам с ссылкой по которой перешёл пользователь. Подозрение только на это...

thyrex
04.08.2014, 17:07
У кого-то вложение, у кого-то ссылка. Смотрите примеры тем в первом сообщении

Константин 1981
05.08.2014, 12:45
Просто удалите эту папку

Спасибо. Ребята из Касперского просят собрать и отправить им какие-то Логи, я проследовал инструкции -запустил три программы Rectodekriptor,Xorisdecriptor и Virus removal. Появился ождин отчет, я его прикрепил и отправил. Где брать эти логи и как они выглядят? И вообще надо ли париться если никто не дешифрует обратно файлы? Я честно говоря туповат в этой всей програмной начинке

thyrex
05.08.2014, 19:45
я проследовал инструкции -запустил три программы Rectodekriptor,XorisdecriptorБайки не рассказывайте. Ни в одних правилах сбора логов на форумах, оказывающих помощь в избавлении последствий вирусов, нет подобного

Константин 1981
06.08.2014, 11:17
Байки не рассказывайте. Ни в одних правилах сбора логов на форумах, оказывающих помощь в избавлении последствий вирусов, нет подобного
я ж говорю не очень понимаю

- - - Добавлено - - -

Расшифрование возможно или нет

thyrex
06.08.2014, 11:49
Прочитать первое сообщение темы, в которой пишете, тоже не в состоянии? Там ясно написано, при каких условиях возможна помощь. Кроме того, прочтите про длину пароля и соотнесите это с условиями возможной помощи - и сами ответите на свой вопрос

regist
12.08.2014, 13:38
Также рекомендую почитать эту статью http://virusinfo.info/showthread.php?t=164586 возможно поможет получить нужный ключ для расшифровки.

nip
14.08.2014, 14:41
Добрый день!

Нашел папку C:/tmp в которой находятся все перечисленные в первом посте файлы, удалил. На диске D:/ файлы с именем начинающимся на shapka тоже есть. Но они находятся не в папке tmp, а в директории D:\Программа\ВходящиеДокументы\Базы и называются shapka.dbf, shapka.FPT, shapkaxx.dbf, shapkaxx.FPT, sh_pok.CDX, sh_pok.dbf, sh_pok.fpt. Вопрос, могут ли эти файлы относиться к обозначенной заразе и, соответственно, стоит ли их удалять??
Спасибо!

thyrex
14.08.2014, 15:40
Не относятся

vertuanna
26.10.2014, 22:23
Добрый день!
Есть новости по этому вирусу?

thyrex
27.10.2014, 17:40
Каких новостей Вы ожидаете?

vertuanna
28.10.2014, 10:55
Жду, может кто смог расшифровать, а я пропустила эту информацию

thyrex
28.10.2014, 19:23
Ждите дальше :)

Unknuser
16.01.2015, 10:46
Не уверен, что пишу в правильную тему, может стоило создать новую...
Сотрудник словил похожую дрянь. Шифрует файлы в .RAr
если я правильно догадался - пароль шифруется PGP и содержится в сообщении от вымогателей.
Судя по всему алгоритм генерации пароля какой-то новый, т.к. antihack_v3 не помог :(
Работа вируса была оборвана (завершён сеанс пользователя на терминальнике), но к сожалению, он успел зашифровать несколько файлов, куда сотрудник ошибочно имел доступ и которые не резервировались.
Часть файлов вируса сохранилось. может ли это как-то помочь расшифровке?
К сожалению, само письмо, в котором пришёл дроппер - удалено. Но есть кое-что интересное:
Вот откуда закачиваются файлы шифратора:
[cuted]
Эти данные выцарапал из того, что осталось в папке шифровальщика...

UPD: прошу прощения, не подумал, что кто-то может заразиться. В общем у есть ссылки на заразу.

TheBars
16.01.2015, 13:51
Всем привет! На почту пришло письмо с вложением,там оказался вирус который зашифровал файлы в .RAr
Пробовали расшифровать antihack_v3 не помогло.Может кто поможет с расшифровкой?
P.S.могу прислать файл архива вложения.

Unknuser
16.01.2015, 13:59
Всем привет! На почту пришло письмо с вложением,там оказался вирус который зашифровал файлы в .RAr
Пробовали расшифровать antihack_v3 не помогло.Может кто поможет с расшифровкой?
P.S.могу прислать файл архива вложения.

На диске "С" создалась папка "wintemp_" с кучкой файлов и в том числе с файлом morjik ?

TheBars
16.01.2015, 14:04
Да.

Unknuser
16.01.2015, 14:07
Собрат по несчастью...