-
Junior Member
- Вес репутации
- 37
Сообщение от
stack515
Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?
Возможность есть.
опыта пока нет
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
[QUOTE=Mag1str0;1124398]
Сообщение от
stack515
Mag1str0, Для начала надо немного информации:
1. Какая ОС?
2. Уходит ли компьютер/ноутбук в сон?
3. Выключается ли на ночь?
4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)
От этих факторов зависят шансы.
1. Ось Win7x64
2. Не уходит в сон
3. Не выключается, рабочий компьютер работает 24\7
4.к сожалению нет.
Самое худшее в том, что это подхватил пользователь, и эта зараза поползла на примапленые сетевые диски, и там нагадила.
локальные диски в порядке, там ничего не архивировалось
Тогда другие вопросы: Если комп работает 24/7, то давно ли была последняя перезагрузка? по вопросу "4" почему нет? Выполнить поиск всех ".rAr" на всех примапленных дисках и упорядочить по дате создания. Ну и последний вопрос: утилита выдаст много паролей... очень много... 300-400 тысяч. Есть возможность перебрать такое количество?
- - - Добавлено - - -
Сообщение от
Mag1str0
Возможность есть.
опыта пока нет
Отлично!!!! Тогда расскажу как делал я - надеюсь Вам удастся повторить. Ждите - обязательно сегодня напишу!!!
-
Junior Member
- Вес репутации
- 37
-
Junior Member
- Вес репутации
- 56
Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.
Последний раз редактировалось AlexSv; 09.06.2014 в 12:49.
-
Junior Member
- Вес репутации
- 37
Сообщение от
stack515
Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?
Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.
-
Сообщение от
vaflamex
Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.
Мы делали так: в папку с кучей файлов-паролей копируем: rar.exe и любой зашифрованный файл, который переименовываем в 1.rar
Создаем файл _rar.cmd
rar.exe e 1.rar -p%1 >nul
if errorlevel 1 goto m1
echo %1>_passw.txt
:m1
Смысл этого файла такой: если пароль подставленный как аргумент _rar.cmd подходит, то создается файл _passw с этим паролем
Далее создаем _start.cmd
echo start >_start.txt
for %%i in (*) do call _rar.cmd %%i
Это пробегает по всем файлам в папке и подставляет их имена (которые является паролями) в _rar.cmd
Для ускорения процесса мы делили содержимое папки с файлами-паролями на несколько папок и процедуру проделывали в каждой одновременно.
- - - Добавлено - - -
Сообщение от
AlexSv
Тоже хотелось бы получить генератор.
1. WinХР
2. перегружали
3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.
С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).
-
Junior Member
- Вес репутации
- 53
Уважаемый stack515, Помогите плз с генератором. у меня win7 32 , дату заражения и первый закодированый файл вычислил, заранее спасибо за помощь
-
Сообщение от
stack515
Его надо искать на всех дисках!!! Особенно на сетевых и сменных.
Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов
Сообщение от
stack515
Вы алгоритм генерации исследовали?
Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса
А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
stack515
С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).
Время запуска(перезагрузки) есть с точностью +-1 минута
и вот что от виря осталось
Новый рисунок.jpg
Последний раз редактировалось AlexSv; 10.06.2014 в 10:57.
-
Junior Member
- Вес репутации
- 37
Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?
-
Сообщение от
thyrex
Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов
Полностью согласен. У нас на зараженных компах был как раз примонтирован диск Z. Он пострадал больше всего. Но это спасло много файлов в локальных документах (на двух из трех компов).
Сообщение от
thyrex
Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса
Ага.. тут плюсов много. В том числе крайне малая вероятность переврать алгоритм.
Сообщение от
thyrex
А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл
Во... это как раз хорошо для прог которые по словарю брутфорсят. Я же сейчас пошел немного по другому пути: я сделал пакет из CMD и EXE фалов... Получился такой полуавтоматический ремкомплект )))))))))
- - - Добавлено - - -
Сообщение от
crypts
Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?
Вот именно поэтому есть шансы!!!!
-
Junior Member
- Вес репутации
- 37
stack515, можете дать "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени.
-
Всем доброго дня! "Утилита" работает стабильно.
Чтобы попробовать справиться с напастью Вам потребуется:
1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
2. Мощный комп (желательно игровой комп или сервак)
Архив надо распаковать на мощный комп. Далее ОБЯЗАТЕЛЬНО прочитать файл ЧИТАТЬ.PDF. Читать внимательно, стараясь понимать зачем нужна каждая цифра! Процесс не быстрый, а результат зависит только от того, правильно ли Вы задали параметры. НЕ НАДО СЧИТАТЬ ЭТУ УТИЛИТУ ПАНАЦЕЕЙ!!!
Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.
Последний раз редактировалось stack515; 10.06.2014 в 22:56.
-
Junior Member
- Вес репутации
- 37
Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.
-
Сообщение от
crypts
Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.
Для этого вируса не стоит... Достаточно одного компа на Core i7 или сервака на Ксеонах
-
Junior Member
- Вес репутации
- 53
Воспользовался методом уважаемого stack515. Все делалось на Core i7 диапазон задал 120с (+/-60), пароль определился примерно через 50-60 минут. Главное правильно задать исходные параметры.
Спасибо автору метода.
-
Junior Member
- Вес репутации
- 37
1. Находим ПЕРВЫЙ запакованный файл. Для этого можно воспользоваться
РЕГИСТРОЗАВИСИМЫМ поиском с маской "*.rAr", затем упорядочиваем по дате и находим
первый. !!! Но, есть способ проще: Вирус записывает себя в с:\tmp, можно посмотреть дату
и время создания файла KEY !!!
Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.
-
Junior Member
- Вес репутации
- 37
генератор рабочий!
stack515, спасибо!
PS.на ксеоне подобрал за 25 мин в 5 потоков, диапазон - 120с
-
Junior Member
- Вес репутации
- 53
Сообщение от
vaflamex
Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.
Надо брать время файла key
-
Всем кто использует мой пакет для перебора: Для заполнения графы "Дата первого файла" в расчете НАМНОГО ЛУЧШЕ использовать дату и время файла KEY. Это ближе к реальному времени запуска вируса и легче находить!!!