Логи с 4 июня? весьма странно... может фильтр какой-нибудь применен? Если есть желание, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку (или в личку киньте).Сообщение от sandro206
В общем, надо определить время запуска компа в тот день... без этого не найти пароль.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
stack515, Время создания файла Key 03.06.2014 17:01:56, событие EventLog 03.06.214 18:21:12 и 02.06.2014 17:59:50. Какое выбрать. и проблема WIN7 а времени работы события нету, какое указать?
Пожалуйста, более подробно про логи! Упомянутые события в логах имеются в виду какие? 6005 (запуск службы журнала событий)?
Последний EventLog 12:21:12 был 6006, сейчас нашел еще 03.06.2014, аж 3 EventLog время 14:30:12 коды:6005, 6013, 6009.
Ну вот, а говорите, что нет времени работы! Событие 6013 как раз об этом Вам и сообщает. Еще раз повторюсь: надо максимально ответственно подходить к нахождению параметров! Иначе вероятность нахождения пароля 0%! Проверьте, не было ли между 03.06.2014 14:30:12 и 03.06.2014 17:01:56 еще событий 6005!!!!! Для удобства ковыряния логов там есть фильтр: он справа - "фильтр текущего журнала", в нем где написано "<Все коды событий>" вписать 6005,6013,6009,6006 ... и сразу будет видно какое событие 6005 было последнее ПЕРЕД заражением!
То есть я правильно понял? Время работы берем из 6013, а Дату из 6005(он один на это число)
У Вас в логах будет такая картина: подряд в одну секунду три события eventLog: 6009,6005,6013. Самое оптимальное - это найти эту "тройку" и взять из события 6013 время работы. Дата и время этих трех событий одинаковые. Эта "тройка" должна быть самая ближайшая ДО заражения. Если есть сомнения можете выложить лог. Для этого нажмите на журнал "система" правой кнопкой, затем "сохранить все события как". Этот файл выложить на любой файлхостинг, а ссылку сюда или в личку.
Все нашел, написано 30000 паролей. Это нормально?
Последний раз редактировалось PrOxOr; 26.06.2014 в 19:23.
По скриншоту - все нормально. Соответственно в программе должно быть:
Дата в логах: 03.06.2014 14:30:12
Время работы: 18
Дата первого файла: 03.06.2014 17:01:56
Зазоры до и после лучше не трогайте.
Паролей у вас должно быть 300 000 (ноликом Вы ошиблись). Это нормально!
У многих людей находился пароль и в интервале 60 60... это всего 120 000 паролей, но больше риск промахнуться и начать все заново
Ребята, всем спасибо. Отдельное спасибо stack515 за программку. Подобрал пароль за 4 часа (пень i7). Заражение было на windows xp.
Подскажите пожалуйста, машина на которой идет подбор на Xeone под Win s12 r2
время лога 12:00:51
время первого файла 14:48:14
работа 9365 сек
подбирает уже больше часа, это нормально?
Информация
Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833
Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Информация
Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833
Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование
У меня такая же проблема, сейчас подбираю пароль по методу описанному в этой теме, как понимаю шансы на успех маловероятны?((
Где-то тут такую идею я уже видел. Уже приняли на вооружение.
Ага... писал кто-то как доработать вирус... доработали )) А могу я попросить модераторов мне в личку сам вирусняк бросить (как я понял та же папка tmp)? Вернусь из отпуска - охота поковыряться ))Где-то тут такую идею я уже видел. Уже приняли на вооружение.
приветствую всех, хана словили у нас один такой же последний вирус c:\tmp\bmrsa.exe
В их текстовике рядом с зашифрованными файлами внизу какой то код
Последний раз редактировалось drumbass; 10.07.2014 в 12:44.
Не поможет, ибо метод генерации ключа принципиально иной
С его помощью ключ архивирования шифруется
Возможно. Я тупо извлек файлы из самораспаковывающегося архива.
Начинаю исследование. Ждите статью в новой теме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
http://virusinfo.info/showthread.php?t=162848
А из той информации, что находиться в файле !!Файлы зашифрованы.txt можно что-то получить? Сами злоумышленники ведь быстро расшифровывают файлы.
Или они шифруют пароль открытым ключем и записывают туда, а расшифровывают своим закрытым у себя?
Именно так
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ваши права в разделе
Ответить с цитированием
