Страница 2 из 9 Первая 123456 ... Последняя
Показано с 21 по 40 из 173.

Очередная напасть - файлы упакованы в rAr-архивы

  1. #21
    Junior Member Репутация
    Регистрация
    04.06.2014
    Сообщений
    5
    Вес репутации
    21
    Цитата Сообщение от stack515 Посмотреть сообщение
    Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?
    Возможность есть.
    опыта пока нет

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.06.2014
    Адрес
    Санкт-Петербург
    Сообщений
    54
    Вес репутации
    68
    [QUOTE=Mag1str0;1124398]
    Цитата Сообщение от stack515 Посмотреть сообщение
    Mag1str0, Для начала надо немного информации:
    1. Какая ОС?
    2. Уходит ли компьютер/ноутбук в сон?
    3. Выключается ли на ночь?
    4. Возможно ли узнать точное время первого зараженного файла? (Его надо искать на всех дисках!!! Особенно на сетевых и сменных.)

    От этих факторов зависят шансы.

    1. Ось Win7x64
    2. Не уходит в сон
    3. Не выключается, рабочий компьютер работает 24\7
    4.к сожалению нет.
    Самое худшее в том, что это подхватил пользователь, и эта зараза поползла на примапленые сетевые диски, и там нагадила.
    локальные диски в порядке, там ничего не архивировалось
    Тогда другие вопросы: Если комп работает 24/7, то давно ли была последняя перезагрузка? по вопросу "4" почему нет? Выполнить поиск всех ".rAr" на всех примапленных дисках и упорядочить по дате создания. Ну и последний вопрос: утилита выдаст много паролей... очень много... 300-400 тысяч. Есть возможность перебрать такое количество?

    - - - Добавлено - - -

    Цитата Сообщение от Mag1str0 Посмотреть сообщение
    Возможность есть.
    опыта пока нет
    Отлично!!!! Тогда расскажу как делал я - надеюсь Вам удастся повторить. Ждите - обязательно сегодня напишу!!!

  4. #23
    Junior Member Репутация
    Регистрация
    04.06.2014
    Сообщений
    5
    Вес репутации
    21
    Спасибо.
    Буду ждать

  5. #24
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    7
    Вес репутации
    40
    Тоже хотелось бы получить генератор.
    1. WinХР
    2. перегружали
    3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.
    Последний раз редактировалось AlexSv; 09.06.2014 в 11:49.

  6. #25
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    4
    Вес репутации
    21
    Цитата Сообщение от stack515 Посмотреть сообщение
    Сразу еще вопрос: Код можно найти в интервале +/- 300000 паролей. Есть возможность и опыт перебора?
    Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.

  7. #26
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.06.2014
    Адрес
    Санкт-Петербург
    Сообщений
    54
    Вес репутации
    68
    Цитата Сообщение от vaflamex Посмотреть сообщение
    Можно поробовать написать программку. Только не совсем понятно, как их подсунуть rar'у и программно проверить подошел пароль или нет.
    Мы делали так: в папку с кучей файлов-паролей копируем: rar.exe и любой зашифрованный файл, который переименовываем в 1.rar

    Создаем файл _rar.cmd

    rar.exe e 1.rar -p%1 >nul
    if errorlevel 1 goto m1
    echo %1>_passw.txt
    :m1

    Смысл этого файла такой: если пароль подставленный как аргумент _rar.cmd подходит, то создается файл _passw с этим паролем

    Далее создаем _start.cmd

    echo start >_start.txt
    for %%i in (*) do call _rar.cmd %%i

    Это пробегает по всем файлам в папке и подставляет их имена (которые является паролями) в _rar.cmd

    Для ускорения процесса мы делили содержимое папки с файлами-паролями на несколько папок и процедуру проделывали в каждой одновременно.

    - - - Добавлено - - -

    Цитата Сообщение от AlexSv Посмотреть сообщение
    Тоже хотелось бы получить генератор.
    1. WinХР
    2. перегружали
    3. дата и время заражения 03,06,2014 в 15:39:43 (практически до секунды выявлено остались временные файлы от виря в папки темп время создания 15:39:43. Антивирус убил 4 exe, bat но txt остались и еще несколько файлов оставил). Все заразить не успел.
    С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).

  8. #27
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    16
    Вес репутации
    37
    Уважаемый stack515, Помогите плз с генератором. у меня win7 32 , дату заражения и первый закодированый файл вычислил, заранее спасибо за помощь

  9. #28
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,769
    Вес репутации
    3078
    Цитата Сообщение от stack515 Посмотреть сообщение
    Его надо искать на всех дисках!!! Особенно на сетевых и сменных.
    Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов

    Цитата Сообщение от stack515 Посмотреть сообщение
    Вы алгоритм генерации исследовали?
    Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса

    А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #29
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    7
    Вес репутации
    40
    Цитата Сообщение от stack515 Посмотреть сообщение
    С WinXP все гораздо хуже. Вирус для инициализации использует время работы системы... короче uptime, поэтому в вашем случае надо с точностью до минуты знать время последней ПЕРЕД заражением загрузки (это может быть или время включения или перезагрузки).
    Время запуска(перезагрузки) есть с точностью +-1 минута

    и вот что от виря осталось
    Новый рисунок.jpg
    Последний раз редактировалось AlexSv; 10.06.2014 в 09:57.

  11. #30
    Junior Member Репутация
    Регистрация
    10.06.2014
    Сообщений
    2
    Вес репутации
    21
    Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?

  12. #31
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.06.2014
    Адрес
    Санкт-Петербург
    Сообщений
    54
    Вес репутации
    68
    Цитата Сообщение от thyrex Посмотреть сообщение
    Поиск начинается с диска Z. Потому нужно искать первый заархивированный на первом диске перед CD(DVD)-приводом. Хотя для сетевых дисков буква может быть и после привода для компактов
    Полностью согласен. У нас на зараженных компах был как раз примонтирован диск Z. Он пострадал больше всего. Но это спасло много файлов в локальных документах (на двух из трех компов).

    Цитата Сообщение от thyrex Посмотреть сообщение
    Иссследовал, но тоже тупо вставил часть кода на ассемблере из тела вируса
    Ага.. тут плюсов много. В том числе крайне малая вероятность переврать алгоритм.

    Цитата Сообщение от thyrex Посмотреть сообщение
    А так у меня в GUI-приложении задается стартовое и конечное значение счетчика и сгенерированные пароли потом пишутся в текстовый файл
    Во... это как раз хорошо для прог которые по словарю брутфорсят. Я же сейчас пошел немного по другому пути: я сделал пакет из CMD и EXE фалов... Получился такой полуавтоматический ремкомплект )))))))))

    - - - Добавлено - - -

    Цитата Сообщение от crypts Посмотреть сообщение
    Странно почему вирус для генерации пароля использует время?Почему не использовать,например,координаты курсора мыши для создания большей энтропии?Да и архивы зачем их же долго создавать,любой стойкий,блочный,симметричный шифр будет гораздо быстрее шифровать,чем архивация с шифрованием.Плюс ко всему нужно еще и безопасно затереть исходные файлы,без возможности их восстановления,если же на прямую шифрование происходит,то непосредственно в файл осуществляются изменения.Что касается использования ассиметричного шифра RSA для шифровки пароля,тут схема не уязвимая...Если только придумают быстрый алгоритм факторизации больших чисел.Кстати,а там не криво ли реализовано шифрование RSA,мало кто умеет правильно шифровать RSA,то числа не те выбирают,то не достаточной длинны,тогда возможно проще,взломать RSA?
    Вот именно поэтому есть шансы!!!!

  13. #32
    Junior Member Репутация
    Регистрация
    10.06.2014
    Сообщений
    1
    Вес репутации
    21
    stack515, можете дать "утилиту" которая генерирует все возможные варианты паролей для архива в выбранном интервале времени.

  14. #33
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.06.2014
    Адрес
    Санкт-Петербург
    Сообщений
    54
    Вес репутации
    68
    Всем доброго дня! "Утилита" работает стабильно.

    Чтобы попробовать справиться с напастью Вам потребуется:
    1. Утилита, точнее некий пакет из exe и cmd файлов: http://dl.dropbox.com/u/1407012/antihack_v3.zip
    2. Мощный комп (желательно игровой комп или сервак)

    Архив надо распаковать на мощный комп. Далее ОБЯЗАТЕЛЬНО прочитать файл ЧИТАТЬ.PDF. Читать внимательно, стараясь понимать зачем нужна каждая цифра! Процесс не быстрый, а результат зависит только от того, правильно ли Вы задали параметры. НЕ НАДО СЧИТАТЬ ЭТУ УТИЛИТУ ПАНАЦЕЕЙ!!!

    Если есть вопросы - задавайте на этом форуме. Во-первых количество личных сообщений ограничено, во-вторых на форуме уже есть те, кому это помогло. Они тоже в состоянии помочь.
    Последний раз редактировалось stack515; 10.06.2014 в 21:56.

  15. #34
    Junior Member Репутация
    Регистрация
    10.06.2014
    Сообщений
    2
    Вес репутации
    21
    Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.

  16. #35
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.06.2014
    Адрес
    Санкт-Петербург
    Сообщений
    54
    Вес репутации
    68
    Цитата Сообщение от crypts Посмотреть сообщение
    Распределенную вычислительную сеть бы создать,куда вошли бы добровольцы,что бы всем вместе пытаться расшифровывать.
    Для этого вируса не стоит... Достаточно одного компа на Core i7 или сервака на Ксеонах

  17. #36
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    16
    Вес репутации
    37
    Воспользовался методом уважаемого stack515. Все делалось на Core i7 диапазон задал 120с (+/-60), пароль определился примерно через 50-60 минут. Главное правильно задать исходные параметры.
    Спасибо автору метода.

  18. #37
    Junior Member Репутация
    Регистрация
    05.06.2014
    Сообщений
    4
    Вес репутации
    21
    1. Находим ПЕРВЫЙ запакованный файл. Для этого можно воспользоваться
    РЕГИСТРОЗАВИСИМЫМ поиском с маской "*.rAr", затем упорядочиваем по дате и находим
    первый. !!! Но, есть способ проще: Вирус записывает себя в с:\tmp, можно посмотреть дату
    и время создания файла KEY !!!
    Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.

  19. #38
    Junior Member Репутация
    Регистрация
    09.06.2014
    Сообщений
    1
    Вес репутации
    21
    генератор рабочий!
    stack515, спасибо!
    PS.на ксеоне подобрал за 25 мин в 5 потоков, диапазон - 120с

  20. #39
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    16
    Вес репутации
    37
    Цитата Сообщение от vaflamex Посмотреть сообщение
    Такой вопрос: у меня файл key был создан в 15:57:15, а первый зараженный файл в 16:04:14. Какое время лучше брать для п1? Разница в 7 минут все-таки существенная как я понимаю.
    Надо брать время файла key

  21. #40
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.06.2014
    Адрес
    Санкт-Петербург
    Сообщений
    54
    Вес репутации
    68
    Всем кто использует мой пакет для перебора: Для заполнения графы "Дата первого файла" в расчете НАМНОГО ЛУЧШЕ использовать дату и время файла KEY. Это ближе к реальному времени запуска вируса и легче находить!!!

Страница 2 из 9 Первая 123456 ... Последняя

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 17.01.2014, 21:50
  2. Ответов: 2
    Последнее сообщение: 16.01.2014, 21:44
  3. Ответов: 6
    Последнее сообщение: 17.10.2013, 12:04
  4. Ответов: 11
    Последнее сообщение: 25.04.2013, 19:25
  5. Ответов: 1
    Последнее сообщение: 07.02.2013, 14:08

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00630 seconds with 18 queries