[QUOTE=stack515;1124399]Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?[/QUOTE]
Возможность есть.
опыта пока нет
Printable View
[QUOTE=stack515;1124399]Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?[/QUOTE]
Возможность есть.
опыта пока нет
[QUOTE=Mag1str0;1124398][QUOTE=stack515;1124382][B]Mag1str0[/B], Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)
От этих факторов зависят шансы.
1. Ось Win7x64
2. Не уходит в сон
3. Не выключается, рабочий компьютер работает 24\7
4.к сожалению нет.
Самое худшее в том, что это подхватил пользователь, и эта зараза поползла на примапленые сетевые диски, и там нагадила.
локальные диски в порядке, там ничего не архивировалось[/QUOTE]
Тогда другие вопросы: Если комп работает 24/7, то давно ли была последняя перезагрузка? по вопросу "4" почему нет? Выполнить поиск всех ".rAr" на всех примапленных дисках и упорядочить по дате создания. Ну и последний вопрос: утилита выдаст много паролей... очень много... 300-400 тысяч. Есть возможность перебрать такое количество?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=Mag1str0;1124404]Возможность есть.
опыта пока нет[/QUOTE]
Отлично!!!! Тогда расскажу как делал я - надеюсь Вам удастся повторить. Ждите - обязательно сегодня напишу!!!
Спасибо.
Буду ждать
Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.
[QUOTE=stack515;1124399]Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?[/QUOTE]
Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.
[QUOTE=vaflamex;1124435]Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.[/QUOTE]
Мы делали так: в папку с кучей файлов-паролей копируем: rar.exe и любой зашифрованный файл, который переименовываем в 1.rar
Создаем файл _rar.cmd
rar.exe e 1.rar -p%1 >nul
if errorlevel 1 goto m1
echo %1>_passw.txt
:m1
Смысл этого файла такой: если пароль подставленный как аргумент _rar.cmd подходит, то создается файл _passw с этим паролем
Далее создаем _start.cmd
echo start >_start.txt
for %%i in (*) do call _rar.cmd %%i
Это пробегает по всем файлам в папке и подставляет их имена (которые является паролями) в _rar.cmd
Для ускорения процесса мы делили содержимое папки с файлами-паролями на несколько папок и процедуру проделывали в каждой одновременно.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=AlexSv;1124428]Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.[/QUOTE]
С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).
Уважаемый stack515, Помогите плз с генератором. у меня win7 32 , дату заражения и первый закодированый файл вычислил, заранее спасибо за помощь
[quote="stack515;1124382"]Его надо искать на всех дисках!!! Особенно на сетевых и сменных.[/quote]Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов
[quote="stack515;1124382"]Вы алгоритм генерации исследовали?[/quote]Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса :)
А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл
[QUOTE=stack515;1124468]С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).[/QUOTE]
Время запуска(перезагрузки) есть с точностью +-1 минута
и вот что от виря осталось
[ATTACH=CONFIG]478398[/ATTACH]
Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?
[QUOTE=thyrex;1124606]Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов[/QUOTE]
Полностью согласен. У нас на зараженных компах был как раз примонтирован диск Z. Он пострадал больше всего. Но это спасло много файлов в локальных документах (на двух из трех компов).
[QUOTE=thyrex;1124606]
Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса :)[/QUOTE]
Ага.. тут плюсов много. В том числе крайне малая вероятность переврать алгоритм.
[QUOTE=thyrex;1124606]
А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл[/QUOTE]
Во... это как раз хорошо для прог которые по словарю брутфорсят. Я же сейчас пошел немного по другому пути: я сделал пакет из CMD и EXE фалов... Получился такой полуавтоматический ремкомплект )))))))))
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=crypts;1124769]Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?[/QUOTE]
Вот именно поэтому есть шансы!!!!
stack515, можете дать "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени.
Всем доброго дня! "Утилита" работает стабильно.
Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: [URL="http://dl.dropbox.com/u/1407012/antihack_v3.zip"]http://dl.dropbox.com/u/1407012/antihack_v3.zip[/URL]
2. Мощный комп (желательно игровой комп или сервак)
Архив надо распаковать на мощный комп. Далее ОБЯЗАТЕЛЬНО прочитать файл ЧИТАТЬ.PDF. Читать внимательно, стараясь понимать зачем нужна каждая цифра! Процесс не быстрый, а результат зависит только от того, правильно ли Вы задали параметры. НЕ НАДО СЧИТАТЬ ЭТУ УТИЛИТУ ПАНАЦЕЕЙ!!!
Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.
Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.
[QUOTE=crypts;1124948]Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.[/QUOTE]
Для этого вируса не стоит... Достаточно одного компа на Core i7 или сервака на Ксеонах
Воспользовался методом уважаемого stack515. Все делалось на Core i7 диапазон задал 120с (+/-60), пароль определился примерно через 50-60 минут. Главное правильно задать исходные параметры.
Спасибо автору метода.
[QUOTE]1. Находим ПЕРВЫЙ запакованный файл. Для этого можно воспользоваться
РЕГИСТРОЗАВИСИМЫМ поиском с маской "*.rAr", затем упорядочиваем по дате и находим
первый. !!! Но, есть способ проще: Вирус записывает себя в с:\tmp, можно посмотреть дату
и время создания файла KEY !!![/QUOTE]
Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.
генератор рабочий!
[b]stack515[/b], спасибо!
PS.на ксеоне подобрал за 25 мин в 5 потоков, диапазон - 120с
[QUOTE=vaflamex;1125117]Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.[/QUOTE]
Надо брать время файла key
Всем кто использует мой пакет для перебора: Для заполнения графы "Дата первого файла" в расчете НАМНОГО ЛУЧШЕ использовать дату и время файла KEY. Это ближе к реальному времени запуска вируса и легче находить!!!