-
[QUOTE=sandro206;1130007]наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.[/QUOTE]
Логи с 4 июня? весьма странно... может фильтр какой-нибудь применен? Если есть желание, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку (или в личку киньте).
В общем, надо определить время запуска компа в тот день... без этого не найти пароль.
-
[b]stack515[/b], Время создания файла [B]Key[/B] 03.06.2014 17:01:56, событие [B]EventLog[/B] 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?
-
[QUOTE=PrOxOr;1130271][b]stack515[/b], Время создания файла [B]Key[/B] 03.06.2014 17:01:56, событие [B]EventLog[/B] 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?[/QUOTE]
Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?
-
[QUOTE=stack515;1130275]Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?[/QUOTE] Последний [B]EventLog[/B] 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.
-
[QUOTE=PrOxOr;1130282]Последний [B]EventLog[/B] 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.[/QUOTE]
Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать [B]6005,6013,6009,6006[/B] ... и сразу будет видно какое событие 6005 было последнее [B]ПЕРЕД[/B] заражением!
-
[QUOTE=stack515;1130286]Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать [B]6005,6013,6009,6006[/B] ... и сразу будет видно какое событие 6005 было последнее [B]ПЕРЕД[/B] заражением![/QUOTE]
То есть я правильно понял? Время работы берем из [B]6013[/B], а Дату из [B]6005[/B](он один на это число)
-
[QUOTE=PrOxOr;1130295]То есть я правильно понял? Время работы берем из [B]6013[/B], а Дату из [B]6005[/B](он один на это число)[/QUOTE]
У Вас в логах будет такая картина: подряд в [B]одну секунду[/B] три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая [B]ДО[/B] заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.
-
Вложений: 1
[QUOTE=stack515;1130300]У Вас в логах будет такая картина: подряд в [B]одну секунду[/B] три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая [B]ДО[/B] заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.[/QUOTE]
Все нашел, написано 30000 паролей. Это нормально?
-
[QUOTE=PrOxOr;1130305]Все нашел, написано 30000 паролей. Это нормально?[/QUOTE]
По скриншоту - все нормально. Соответственно в программе должно быть:
Дата в логах: 03.06.2014 14:30:12
Время работы: 18
Дата первого файла: 03.06.2014 17:01:56
Зазоры до и после лучше не трогайте.
Паролей у вас должно быть 300 000 (ноликом Вы ошиблись). Это нормально!
У многих людей находился пароль и в интервале 60 60... это всего 120 000 паролей, но больше риск промахнуться и начать все заново
-
Ребята, всем спасибо. Отдельное спасибо [B]stack515[/B] за программку. Подобрал пароль за 4 часа (пень i7). Заражение было на windows xp.
-
Подскажите пожалуйста, машина на которой идет подбор на Xeone под Win s12 r2
время лога 12:00:51
время первого файла 14:48:14
работа 9365 сек
подбирает уже больше часа, это нормально?
-
[INFORMATION]
Обнаружена новая модификация (а скорее оригинальный код) [url]http://virusinfo.info/showthread.php?t=162833[/url]
Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование[/INFORMATION]
-
[QUOTE=thyrex;1135252][INFORMATION]
Обнаружена новая модификация (а скорее оригинальный код) [url]http://virusinfo.info/showthread.php?t=162833[/url]
Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование[/INFORMATION][/QUOTE]
У меня такая же проблема, сейчас подбираю пароль по методу описанному в этой теме, как понимаю шансы на успех маловероятны?((
-
[quote="thyrex;1135252"]Ключ генерируется на основе позиции курсора мыши[/quote]
Где-то тут такую идею я уже видел. Уже приняли на вооружение. :)
-
[QUOTE=Никита Соловьев;1135406]Где-то тут такую идею я уже видел. Уже приняли на вооружение. :)[/QUOTE]
Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))
-
приветствую всех, хана словили у нас один такой же последний вирус c:\tmp\bmrsa.exe
В их текстовике рядом с зашифрованными файлами внизу какой то код
-
[quote="lacosst;1135279"]сейчас подбираю пароль по методу описанному в этой теме[/quote]Не поможет, ибо метод генерации ключа принципиально иной
[quote="drumbass;1135506"]c:\tmp\bmrsa.exe[/quote]С его помощью ключ архивирования шифруется
[quote="stack515;1135504"]А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)?[/quote]Возможно. Я тупо извлек файлы из самораспаковывающегося архива.
Начинаю исследование. Ждите статью в новой теме
-
[QUOTE=stack515;1135504]Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=162848[/url]
-
А из той информации, что находиться в файле !!Файлы зашифрованы.txt можно что-то получить? Сами злоумышленники ведь быстро расшифровывают файлы.
Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?
-
[quote="q2ker;1135615"]Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?[/quote]Именно так
Page generated in 0.00772 seconds with 10 queries