Очередная напасть - файлы упакованы в rAr-архивы

[QUOTE=sandro206;1130007]наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.[/QUOTE]

Логи с 4 июня? весьма странно... может фильтр какой-нибудь применен? Если есть желание, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку (или в личку киньте).

В общем, надо определить время запуска компа в тот день... без этого не найти пароль.

[b]stack515[/b], Время создания файла [B]Key[/B] 03.06.2014 17:01:56, событие [B]EventLog[/B] 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?

[QUOTE=PrOxOr;1130271][b]stack515[/b], Время создания файла [B]Key[/B] 03.06.2014 17:01:56, событие [B]EventLog[/B] 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?[/QUOTE]
Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?

[QUOTE=stack515;1130275]Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?[/QUOTE] Последний [B]EventLog[/B] 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.

[QUOTE=PrOxOr;1130282]Последний [B]EventLog[/B] 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.[/QUOTE]
Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать [B]6005,6013,6009,6006[/B] ... и сразу будет видно какое событие 6005 было последнее [B]ПЕРЕД[/B] заражением!

[QUOTE=stack515;1130286]Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать [B]6005,6013,6009,6006[/B] ... и сразу будет видно какое событие 6005 было последнее [B]ПЕРЕД[/B] заражением![/QUOTE]

То есть я правильно понял? Время работы берем из [B]6013[/B], а Дату из [B]6005[/B](он один на это число)

[QUOTE=PrOxOr;1130295]То есть я правильно понял? Время работы берем из [B]6013[/B], а Дату из [B]6005[/B](он один на это число)[/QUOTE]

У Вас в логах будет такая картина: подряд в [B]одну секунду[/B] три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая [B]ДО[/B] заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.

[QUOTE=stack515;1130300]У Вас в логах будет такая картина: подряд в [B]одну секунду[/B] три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая [B]ДО[/B] заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.[/QUOTE]

Все нашел, написано 30000 паролей. Это нормально?

[QUOTE=PrOxOr;1130305]Все нашел, написано 30000 паролей. Это нормально?[/QUOTE]

По скриншоту - все нормально. Соответственно в программе должно быть:
Дата в логах: 03.06.2014 14:30:12
Время работы: 18
Дата первого файла: 03.06.2014 17:01:56
Зазоры до и после лучше не трогайте.

Паролей у вас должно быть 300 000 (ноликом Вы ошиблись). Это нормально!

У многих людей находился пароль и в интервале 60 60... это всего 120 000 паролей, но больше риск промахнуться и начать все заново

Ребята, всем спасибо. Отдельное спасибо [B]stack515[/B] за программку. Подобрал пароль за 4 часа (пень i7). Заражение было на windows xp.

Подскажите пожалуйста, машина на которой идет подбор на Xeone под Win s12 r2

время лога 12:00:51
время первого файла 14:48:14
работа 9365 сек

подбирает уже больше часа, это нормально?

[INFORMATION]

Обнаружена новая модификация (а скорее оригинальный код) [url]http://virusinfo.info/showthread.php?t=162833[/url]

Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование[/INFORMATION]

[QUOTE=thyrex;1135252][INFORMATION]

Обнаружена новая модификация (а скорее оригинальный код) [url]http://virusinfo.info/showthread.php?t=162833[/url]

Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование[/INFORMATION][/QUOTE]



У меня такая же проблема, сейчас подбираю пароль по методу описанному в этой теме, как понимаю шансы на успех маловероятны?((

[quote="thyrex;1135252"]Ключ генерируется на основе позиции курсора мыши[/quote]
Где-то тут такую идею я уже видел. Уже приняли на вооружение. :)

[QUOTE=Никита Соловьев;1135406]Где-то тут такую идею я уже видел. Уже приняли на вооружение. :)[/QUOTE]

Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))

приветствую всех, хана словили у нас один такой же последний вирус c:\tmp\bmrsa.exe
В их текстовике рядом с зашифрованными файлами внизу какой то код

[quote="lacosst;1135279"]сейчас подбираю пароль по методу описанному в этой теме[/quote]Не поможет, ибо метод генерации ключа принципиально иной

[quote="drumbass;1135506"]c:\tmp\bmrsa.exe[/quote]С его помощью ключ архивирования шифруется

[quote="stack515;1135504"]А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)?[/quote]Возможно. Я тупо извлек файлы из самораспаковывающегося архива.
Начинаю исследование. Ждите статью в новой теме

[QUOTE=stack515;1135504]Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))[/QUOTE]


[url]http://virusinfo.info/showthread.php?t=162848[/url]

А из той информации, что находиться в файле !!Файлы зашифрованы.txt можно что-то получить? Сами злоумышленники ведь быстро расшифровывают файлы.
Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?

[quote="q2ker;1135615"]Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?[/quote]Именно так

чтоб им сдохнуть, тварям.

Словил новую версию, не знаю что делать, переборщик паролей показал год переборки 65 знаков

ТП drweb просит файл drivers.000. Мол без него расшифровка невозможна. Просканил ЖД по быстрому нет такого файла.

Читаем исследование новой версии [url]http://virusinfo.info/showthread.php?t=162915&p=1135727[/url]

не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты

[QUOTE=drumbass;1135905]Ничего, юзерам урок будет чтобы не открывали что попало из почты[/QUOTE]
1 Если бы стоял нормальный антивирус не былобы такого - это не его вина
2 Если пользователю не были даны четкие инструкции что стоит делать, что нет - это не его вина
3 Если не настроен спам контроль и проверка почты до попадания в ящик пользователя - это не его вина

1. стояло и два, симантек и софос на шлюзе - оба пропустили
2. инструкции может и не четкие но были, тут уж элементарно думать надо было
3. ящик был провайдерский, спам контроль у них же. Как оно там прошло я хз

PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ? Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar

[QUOTE=drumbass;1135963]PS есть идеи как поудалять сейчас с дисков все эти rAR файлы ? Total регистр расширения при поиске не различает, пробовал искать по двойному расширению - *.*.rAR, но опять же попадаЮтся нормальные файлы типа 123.part1.rar[/QUOTE]
В ХП есть в поиске, в дополнительно - с учетом регистра
В 7 - поиск урезанный, пользуюсь [url]http://www.fileseek.ca/Download/[/url]

в XP он в имени файла регистр смотрит, расширение ему по барабану. В 7 спасибо , потом пригодится. Сейчас эти "добрые" ребята сами прислали утилиту для удаления таких файлов и опять извинились :D Ну просто няшки....

[quote="drumbass;1136080"]Ну просто няшки....[/quote]Видимо, прочли здесь о Ваших проблемах )))

[QUOTE=drumbass;1135905]не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты[/QUOTE]
Даров. Какие файлы вы им отправили, чтобы вам прислали пароль?

[QUOTE=drumbass;1135905]не дождались наши, заплатили деньги. Те прислали пароль и moar.exe и unrar.exe для распаковки. Говорите если что нужно вышлю.
Еще и гниды сто раз извинились "за такой способ зарабатывания денег". Ничего, юзерам урок будет чтобы не открывали что попало из почты[/QUOTE]

Секретарь открыла вложение письма. Symantec никак не отреагировал. Сетевая папка с документами заархивировалась. Ни одна найденная программа по распаковке от Касперского и ДрВеб не отработала. Пришлите, пожалуйста, что имеете.

В ходу новая версия есть. Да и ключ архивирования вряд ли Вам подойдет :)

Здравствуйте. Пользователи поймали вирус, который зашифровал файлы в архивы *.rAr. Нашел тут способ и скрипты для брутфорса пароля. Папки tmp на диске c: я не нашел, но нашел папочку xtmp, в которой лежат файлы: hh.bat, mask.mask, pgp.exe и другие. Поковыряв эти файлы я выяснил, что папку создал вирус. Файла key в ней нет. Все файлы созданы в 16.33. Первый зашифрованный файл создан в 16.33. В событиях нашел eventlog в 12.00. Поможет ли этот способ?

Как раз мой вариант вируса, поставил перебор, посмотрю, получится или нет

Странно, пароль вроде набрутфорсил, но не подходит (файл не открывает)

Пишет файл поврежден или указан неверный пароль
! C:\antihack\1.rAr: Ошибка CRC в зашифрованном файле razuv.cer. Файл повреждён или указан неверный пароль.


TA4uMF43iKK927sybH0984643qHE8Ld55LrG2x65GoZ79T166N1X3hk83ktXSd0J

как такое может быть?

Значит сбрутили неудачно

[QUOTE=thyrex;1266775]Значит сбрутили неудачно[/QUOTE]
UPD промахнулся со временем, оказывается первый файл в 9 утра, и нужно брать эвент с прошлого дня

Сейчас появилась новая напасть (или может уже и не новая), в общем также все рарится, только заходят по RDP, собственно, что и словила тут одна фирма, которая ко мне обратилась. Хотел спросить, как именно злоумышленники узнают ip, да еще и с логином и паролем. Это я к чему. ip и пароль действительно подбираются (в моем случае действительно подобрать было просто - пароль такой же как логин, да еще и из 3 букв) или на компе, откуда заходят, есть какая-то зараза, которая может перехватить данные о сохраненных rdp-сессиях? Просто, тогда выходит, что не поможет более сложный пароль.
В общем, хотелось бы знать, как защититься от такого в дальнейшем.
Вымогатели просят 300$, причем через wm-карточки, видимо, боятся светить кошельки. Интересно, если обратиться в вебмани, то могут ли они отследить на какой кошелек активировали определенную карточку? Или бессмысленно?

Вопрос гуру.
что происходит после того, как вирус создал архив с паролем. как удаляются исходные файлы?
возможно ли восстановить исходные файлы способом аналогичным как при удалении файла обычным способом.

[QUOTE=shurman;1270692]Вопрос гуру.
что происходит после того, как вирус создал архив с паролем. как удаляются исходные файлы?
возможно ли восстановить исходные файлы способом аналогичным как при удалении файла обычным способом.[/QUOTE]

Я не гуру, но это также было первое что пришло мне в голову. Но r-studio не нашел ничего из удаленного, только кучу файлов нулевой длины __rar_tmp. Видимо как-то хитро удаляют. В моем случае рарили по RDP под ограниченной учеткой, но права были целиком на диск, который зарарили.