Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Расшифровка файлов .BMCODE: поиск решения

  1. #1
    Junior Member Репутация Репутация
    Регистрация
    04.02.2013
    Сообщений
    5
    Вес репутации
    42

    Расшифровка файлов .BMCODE: поиск решения

    Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
    Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.

    так же инструкция в архиве для оффлайна: manual.zip

    если кто-то что-то захочет дополнить - пишите.

    Если кто-то может оформить данный скрипт в более удобную утилиту - добро пожаловать.

    СДЕЛАЙТЕ КОПИЮ ЗАШИФРОВАННЫХ ФАЙЛОВ. ОБЯЗАТЕЛЬНО. ПРИ МАЛЕЙШЕЙ ОШИБКЕ ВСЕ БУДЕТ ПОТЕРЯНО. ЭТО НИ РАЗУ НЕ ШУТКА. ВСЕ ДЕЙСТВИЯ НА ВАШ СТРАХ И РИСК – ПОСЛЕДСТВИЯ НИЖЕУКАЗАННЫХ ДЕЙСТВИЙ МОГУТ БЫТЬ НЕОБРАТИМЫ.

    Для запуска на зашифрованном компьютере должен быть установлен PowerShell. Если это Windows 7, обычно он там уже есть. Для Windows XP можно скачать здесь. Также должен быть разрешён запуск скриптов. Чтобы разрешить запуск скриптов – надо запустить «пуск – все программы – стандартные – windows powershell - Windows PowerShell ISE» и выполнить команду: set-executionpolicy bypass

    Далее: копируете код который в конце и вставляете в пустой файл в блокноте. Сохраняете. Потом переименовываете - расширение должно быть "ps1". И открываете в powershell.
    Или копируете прямо в powershell, кому как удобнее.

    Если расшифровку производите на том же компьютере, на котором все зашифровалось – просто запускаете выполнение скрипта и ждете (если документов много – ждете долго). Хотя я бы посоветовал в любом случае сделать действия, как если расшифровка будет на другом компьютере.

    Если расшифровку производите на другом компьютере (или виртуальной машине), куда скопировали зашифрованные данные – надо предварительно НА ТОМ КОМПЬЮТЕРЕ, ЧТО ПОСТРАДАЛ, сделать следующее:

    Скопировать нижеуказанный код в powershell или открыть сделанный вами файл .ps1,
    стать левой кнопкой мыши в начало строки 3, как указано на рисунке:

    1.jpg

    И нажать F9
    Станет вот так:

    2.jpg

    Потом запустить скрипт, выполнение остановится как раз на строке 3, надо подвести курсор мыши на переменную $ek во второй строке, вылезет ее текущее значение, например:

    3.jpg

    И ОЧЕНЬ внимательно его записать.

    Потом нажать SHIFT+F5 и после этого CTRL+SHIFT+F9.
    Теперь идем на тот компьютер (виртуальную машину), где будем все расшифровывать, запускаем powershell, открываем наш код и первую строку, которая имеет вид

    Код:
    $ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;
    делаем следующего вида:

    Код:
    $ek="ED2D9475-E11D-E341-A5FF-511AE59201E4";
    ЭТО ПРИМЕР, ЦИФРЫ ДОЛЖНЫ БЫТЬ ДРУГИЕ!!!!!!!

    И запускаете скрипт, ждете.

    собственно, сам код:
    Код:
    $ek=(get-wmiobject Win32_ComputerSystemProduct).UUID;
    $bytes=[system.Text.Encoding]::Unicode.GetBytes($ek); # UID компьютера 
    $basekey="BgIAAACkAABSU0ExAAQAAAEAAQDTYUZyVxhh48R/1Y/H5NdEgi49DIHtJTXm+mcVHnvUpYiNEnxpFj/UJXVDg0F2rfWFpnyqHJ0dbyjsOCwMX0eRyp2VxrWFzOHIM6QpevxGF9izXeNq7+OzBuo11V/7EmvQBW2sfuNEOP7zdUw0DFKoK+X2Taewaki1LGYhpshjqg==";
    $rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider;
    $rsa.ImportCspBlob([system.Convert]::FromBase64String($basekey)); # импорт объекта с данными ключа
    $enckey=[system.Convert]::ToBase64String($rsa.Encrypt($bytes, $false)); # шифрование UID компьютера RSA 
    
    function Decrypt-File($item, $Passphrase){
        $salt="BMCODE hack your system";
        $init="BMCODE INIT";
        $r = new-Object System.Security.Cryptography.RijndaelManaged;
        $pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
        $salt = [Text.Encoding]::UTF8.GetBytes($salt);
        $r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
        $r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
        $r.Padding="Zeros";
        $r.Mode="CBC";
        $c = $r.CreateDecryptor();
        $ms = new-Object IO.MemoryStream;
        $cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"Write";
        $cs.Write($item, 0,$item.Length);
        $cs.Close();
        $ms.Close();
        $r.Clear();
        return $ms.ToArray();
    }
    
    
    $disks=Get-PSDrive |Where-Object {$_.Free -gt 50000}|Sort-Object -Descending;
    foreach($disk in $disks){
        gci $disk.root -Recurse -Include "*.BMCODE" | % {
            try {
                $file=[io.file]::Open($_, 'Open', 'ReadWrite');
                if ($file.Length -lt "40960"){$size=$file.Length}
                else{$size="40960"}[byte[]]$buff = new-object byte[] $size;
                $ToEncrypt = $file.Read($buff, 0, $buff.Length);
                $file.Position='0';
                $Encrypted=Decrypt-File $buff $ek;
                $file.Write($Encrypted, 0, $Encrypted.Length);
                $file.Close();
                $newname=$_.name -replace '\.BMCODE','';
                rename-item -Path $_.FullName -NewName $newname -Force;
            }    
            catch{}
        }
    }
    Последний раз редактировалось delightman; 07.02.2013 в 09:35.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Предлагаю всем желающим поучаствовать в обсуждении решений для расшифровки файлов .BMCODE.
    Имхо, можно также попробовать te182decrypt от вебовцев.

  4. #3
    Junior Member Репутация
    Регистрация
    07.02.2013
    Сообщений
    1
    Вес репутации
    41
    Вчера получилось, указанным способом расшифровать файлы, автору спасибо. Единственное, что UUID узнавал повершелом, так проще, тут написал как: http://forum.kaspersky.com/index.php...&#entry1981036
    Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили. Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).

  5. #4
    Junior Member Репутация Репутация
    Регистрация
    04.02.2013
    Сообщений
    5
    Вес репутации
    42
    Цитата Сообщение от Olejah Посмотреть сообщение
    Предлагаю всем желающим поучаствовать в обсуждении решений для расшифровки файлов .BMCODE.
    Имхо, можно также попробовать te182decrypt от вебовцев.
    пробовал, мне не помогло: "зашифрованных файлов не обнаружено"

  6. #5
    Junior Member Репутация
    Регистрация
    08.02.2013
    Сообщений
    6
    Вес репутации
    41
    Цитата Сообщение от delightman Посмотреть сообщение
    пробовал, мне не помогло: "зашифрованных файлов не обнаружено"
    аналогично.

    В скриптах не очень разбираюсь, можно ли объяснить его действие, включая наши операции на пострадавшем компьютере?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    202
    В ближайшие дни ожидается утилита для расшифровки, есть такая информация.

    У кого-то бизнес похоже рушится
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  8. #7
    Junior Member Репутация
    Регистрация
    08.02.2013
    Сообщений
    6
    Вес репутации
    41
    Цитата Сообщение от scorax Посмотреть сообщение
    Главное в этом способе сам троян не удалять на зараженной машине, так как у меня секретарь удалила на всякий случай. Хорошо что в "корпоративном фильтре" письмо отловили. Потом в письме взяли файл .hta и в нем закодированный base64 скрипт для повершела (powershell скачивает с dropbox'а).
    В лаборатории Веба тоже подтверждают, что невозможно дешифровать зашифрованные rsa1024 без наличия трояна..
    к сожалению, он самоликвидировался

  9. #8
    Junior Member Репутация
    Регистрация
    07.02.2013
    Сообщений
    4
    Вес репутации
    41

    СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!!

    СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!! У меня тоже получилось с помощиью скрипта раскодировать свои файлы.

    Пользователям Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.
    Пользователю Джеки огромная благодарность за написание скрипта расшифровки файлов.

    Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
    Пишите на [email protected]


  10. #9
    Junior Member Репутация
    Регистрация
    08.02.2013
    Сообщений
    6
    Вес репутации
    41
    Цитата Сообщение от telsek Посмотреть сообщение

    Если кто потерял сам вирус и он ему очень нужен для лечения - у меня точно есть в письме файл *.hta
    Пишите на [email protected]
    спасибо!
    я боюсь, что нужен именно тот, закодировавший конкретно мои файлы. Так как код шифрования, заключенный в нем, или же механизм (увы, я не знаю, как именно устроен вирус) может быть отличный от вашего..

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    http://support.kaspersky.ru/download...tdecryptor.exe тоже уже должен расшифровывать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    07.02.2013
    Сообщений
    4
    Вес репутации
    41
    мои .BMCODE он не расшифровал...

  14. #12
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    114
    Вы запускали утилиту на зараженной машине?
    Есть ли среди пошифрованных файлов jpg, docx, xlsx, pptx, zip файлы? Если нет, то утилита не определит ключ автоматически - в таком случае (если Вы уверены, что машина точно та), надо запустить "XoristDecryptor.exe -becodec"

    Если надо запустить расшифровку на другой машине (должен быть известен UUID машины, где произошло заражение), то утилиту следует запустить так: "XoristDecryptor.exe -becodep UUID"
    Последний раз редактировалось Юрий Паршин; 08.02.2013 в 17:26.

  15. Это понравилось:


  16. #13
    Junior Member Репутация
    Регистрация
    06.02.2013
    Сообщений
    1
    Вес репутации
    41
    Цитата Сообщение от telsek Посмотреть сообщение
    мои .BMCODE он не расшифровал...
    попробуйте снова. запустил полчаса назад. лечит

  17. #14
    Junior Member Репутация
    Регистрация
    07.02.2013
    Сообщений
    4
    Вес репутации
    41
    Сейчас попробовал с написанным доп. ключом -becodep UUID плюс он при запуске обновился вроде - получилось. Да и все время лечил с зараженного компа.

    Ура - Люди у НАС есть Таблетка от ".BMCODE" от Касперского.
    Спасибо!!!


    Вирус, кстати, до сих пор не удалял. Как это сделать? Запустить Каспера в максимальном режиме проверки? Я пока так не делал, т.к. на сайте и они не рекомендуют удалять вирус, чтобы потом можно было найти таблетку. Раз нашли, теперь что мне делать???

  18. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Можете удалить вручную
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #16
    Junior Member Репутация
    Регистрация
    07.02.2013
    Сообщений
    4
    Вес репутации
    41
    А вирусом является только сам файл *.hta ? (в моем случае Благодарственное письмо.hta)
    Больше ничего? Или он потом заставил куда-то еще скачаться какие-то файлы из инета или просто что-то кроме документов еще испортил на компе?

  20. #17
    Junior Member Репутация
    Регистрация
    08.02.2013
    Сообщений
    6
    Вес репутации
    41
    Спасибо!
    Утилита с ключом на зараженной машине заработала. файлы восстановлены.

  21. #18
    Junior Member Репутация Репутация
    Регистрация
    04.02.2013
    Сообщений
    5
    Вес репутации
    42
    .hta-файл не нужен абсолютно. Я расшифровывал свои данные на своем компьютере на переустановленной системе (не хотелось морочиться с отловом вредоноса; переустановилоперационку с нуля) и все получилось. Действовал строго по моей инструкции.

  22. #19
    Junior Member Репутация
    Регистрация
    05.02.2013
    Сообщений
    3
    Вес репутации
    41
    СПАСИБО ОГРОМНОЕ РЕБЯТАМ, РАСКОДИРОВАВШИМ ВИРУС ".BMCODE" и ПОДАРИВШИМ ЛЮДЯМ КОД СПАСЕНИЯ!!!!!!!

    Действовал согласно инструкции. Правда, на пострадавшем компьютере сначала было заблокирована запись на внешнюю флешку, так как хотел скопировать вредоносный файл. После прогона AVZ4, который успешно нашел и снял некоторые блокировки, запись на флешку восстановилась. После этого скачал PowerShell 2.0 (с отладчиком) для работы на Windows XP с сайта Microsoft. В отладчике работать проще. На пострадавшем компьютере выполнил отдельно первые 2 команды (что бы не заморачиваться с остановами, так как опыта работы с PowerShell не было). Посмотрел и записал код пострадавшего компьютера. Скопировал часть зашифрованных папок на "чистый" компьютер и проверил скрипт расшифровки. ВСЕ ПОЛУЧИЛОСЬ. После этого запустил скрипт на пострадавшем (сильно) компьютере и после, примерно, 2-х с половиной часов ВСЕ ПОЛНОСТЬЮ ВОССТАНОВИЛОСЬ (и файлы DOC,JPG,XLS и т.п и т.д. Правда файлы LNK (ярлыки) на рабочем столе не восстановились, но это уже мелочи).
    ЕЩЁ РАЗ ОГРОМНОЕ СПАСИБО ВСЕМ. Потому что платить "компьютерным террористам" не правильно. А совместными усилиями оказывается можно побеждать. Благодарен сайту VIRUSINFO за оперативную помощь и возможность общения. Джеки и Voolkan, таким же пострадавшим от зловреда, благодарность за расшифровку исходного текста вируса.

  23. #20
    Junior Member Репутация
    Регистрация
    09.02.2010
    Сообщений
    19
    Вес репутации
    52
    Есть продолжение этого вируса, причем UID уже не используется, и в файл успело записаться good.
    Вложения Вложения

Страница 1 из 2 12 Последняя

Похожие темы

  1. Расшифровка файлов.
    От ekv в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 29.09.2012, 16:30
  2. Lockdir и расшифровка файлов с расширением RN
    От tild26 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 07.08.2012, 19:01
  3. Расшифровка файлов
    От kolchind в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 09.07.2012, 11:28
  4. Расшифровка файлов [email protected]
    От Sec в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 08.07.2012, 17:31
  5. Расшифровка файлов с расширением CRYPTOBLOCK
    От VictorVV в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 19.03.2012, 19:51

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00185 seconds with 20 queries