Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Старый знакомый, создающий архивы .raR

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019

    Старый знакомый, создающий архивы .raR

    Хочу сразу предупредить, что по сравнению с предыдущей версией особых изменений нет, поэтому распишу просто назначение используемых компонентов вируса, которые по прежнему извлекаются в папку c:\tmp.

    Итак, что мы имеем в этот раз.

    Примеры тем
    http://virusinfo.info/showthread.php?t=164018
    http://virusinfo.info/showthread.php?t=164034
    http://virusinfo.info/showthread.php?t=164059

    Механизм распространения: остался прежним – вложение (дроппер) к электронному письму.

    Известные имена дроппера
    Исковое заявление поданное в суд.cmd – просто переименованный самораспаковывающийся архив, который Лаборатория Касперского детектирует, как Trojan-Ransom.Win32.Agent.icz (Trojan.Encoder.556 по DrWeb)
    Шифруемые файлы (на всех логических дисках, список расширений находится в файле shapka)

    Скрытый текст

    .jpg.JPGjpegJPEG.doc.DOCdocxDOCX.txt.TXT.pdf.PDF.tif.TIF.dbf.DBF.eps.EPS.psd.PSD.cdr.CDR.mbd.MBD.dxb.xml.XML.xls.XLS.dwg.DWG.mdf.MDF.mdb.MDB.zip.ZIP.rar.RAR.cdx.CDX.wps.WPS.rtf.RTF.1CD.1cd.4db.adp.ADP.wdb.pdm.PDM.ppt.crw.dxg.ptx.pst.raf.pdd.mdf.srw.raw.mcd
    Скрыть


    Для работы вирус использует консольную версию архиватора WinRar 5.0

    Послание от авторов записывается в файлы с именем !Фaйлы зaшифpовaны.txT следующего содержания

    Скрытый текст

    сли всe фaйлы зaшифpoвaны и файлы превратились в rAR архивы, то стоимость pacшифpовки 10.000 рyблей.
    Для того, чтобы расшифровать файлы пришлите на указанный ниже e-mail два файла.
    1) В каждой директории содержится файл !password , пришлите его
    2) Один любой зашифрованый файл небольшого размера (с расширением raR)
    Файлов !password может быть несколько в одной директории, тогда присылайте все
    Обратно Вам придет расшифрованный файл и инструкция по оплате. Расшифрованный файл является
    подтверждением того, что возможно расшифровать все данные.

    После оплаты Вам придет пароль на архивы и программа-расшифровщик, которая расшифрует все файлы.
    Файл !password содержит непонятные для Вас символы. Не удаляйте его. Без данных йероглифов расшифровка невозможна.
    Данные йерогливы - это зашифрованный текст в котором хранится Ваш пароль.

    e-mail для связи: ant@lelantos.org

    Ответ на Ваше письмо придет в течение 1-24 часов.

    Если Вам не приходит ответ больше 24 часов - отправьте свой e-mail для связи (без отправки файлов) на адрес
    ant@sigaint.org
    Вам придет письмо с инструкцией
    Скрыть


    Теперь о компонентах.

    Подробности работы z.exe


    1. Запускает файл hel.exe.
    2. Если файл symbol.thy существует, завершает свою работу.
    3. Если файл symbol.thy не существует, то запускается файл !!.cmd.
    4. Спустя 5 секунд происходит чтение содержимого symbol.thy (о нем ниже).
    5. Оно склеивается со строками rr и .exe, после чего запускается файл с полученным таким хитрым способом именем
    Скрыть


    Подробности работы hel.exe


    Вся роль этого файла сводится к выводу липового сообщения об ошибке Winword
    Ошибка в файле или файл испорчен
    Скрыть


    Подробности работы !!.cmd


    Создает файл symbol.thy, в который записывает символ r, как признак уже запущенного шифровальщика.
    Скрыть


    Подробности работы rrr.exe


    Запускает на выполнение файл c:\tmp\genr.cmd
    Скрыть


    Подробности работы genr.cmd


    Поочередно запускает файлы genpwd, genhex, genrsa, moar. О работе каждого из них ниже по тексту.
    Скрыть


    Подробности работы genpwd.exe


    1. C задержкой в 2014 мс получает 16 значений координат курсора мыши.
    2. Записывает полученную инфоррмацию длиной 32 байта в файл thy
    Скрыть


    Подробности работы genhex.exe


    1. Читает содержимое файла thy в память.
    2. Побайтно переводит каждый символ в его 16-тиричное представление.
    3. Сохраняет полученный результат (уже 64 байта) в тот же самый файл.
    Скрыть


    Подробности работы genrsa.exe


    1. Запускает процесс ssencrypt.exe public.key thy, который шифрует содержимое файла с паролем по алгоритму RSA публичным ключем из файла public.key.
    Зашифрованный пароль хранится в файле thy.ss
    Скрыть


    Содержимое public.key

    (17910768364673292624001632093766971184119837896417476551621722375756212896353886605642567689374959979953915750386222420733301077090425377061153752575248253307859580940331503521521810991863609819870524084704752475460332380433158568013039126847439785477173695901094666468834302981425770833495400436917939316529180010970577698299883748002821650476982575530623933656088795032070102914171728737400031463660084568185641965322579763805189363490630183362454513920274048777721518199596975778117938904006251199037371944876548721674714422844147384764698332406459027474368796311471648395785164971583301918303790633525726012322727,65537)
    Скрыть


    Подробности работы moar.exe


    1. Происходит чтение в память содержимого thy, после чего файл перезаписывается мусором, усекается до нулевой длины и удаляется.
    2. С использованием счетчика времени работы системы генерируется новое имя файла для хранения зашифрованного пароля архивирования. Файл имеет вид !password + ХХХХХ (где ХХХХХ – символы, полученные на основании значения счетчика).
    3. Дополнительно выделяется область памяти в 1048576 байт (заполнена, конечно же, символами с кодом 0).
    4. Происходит поиск и архивирование файлов
    4.1 Происходит чтение из файла shapka попадающих под архивацию расширений файлов
    4.2 Генерируется и запускается на выполнение команда архивирования, которая слегка отличается от предыдущей версии (отсутствует ключ -dw)
    Код:
    rar.exe a -ep1 -p<ключ> <имя.raR> <имя>
    где
    а – добавить в архив
    -ep1 – исключить базовую папку из пути
    4.3 Оригинальный файл забивается символами из выделенной области памяти, усекается до нулевого размера и удаляется.
    4.4 В папку с заархивированным файлом сохраняется сообщение вымогателя.
    4.5 Сюда же копируется содержимое файла thy.ss
    Скрыть


    Оценка возможности разархивирования:
    - возможна:
    -- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс архивирования, выдрать из памяти программы moar.exe пароль;
    -- если антивирусные компании ЗАХОТЯТ заниматься простым перебором паролей;

    - невозможна:
    -- если «архиватор» закончил работу, и остался только зашифрованный файл с паролем;
    -- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #2
    Junior Member Репутация
    Регистрация
    02.08.2014
    Сообщений
    1
    Вес репутации
    13
    Добрый день!

    Словил этот вирус.
    Возможно глупый вопрос: есть ли шанс подобрать пароль, есть сохранились оригиналы заархивированных файлов (в резервной копии)?

  5. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Оригиналы ничем не помогут
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #4
    Junior Member Репутация
    Регистрация
    04.08.2014
    Сообщений
    2
    Вес репутации
    13
    А есть ли возможность расшифровать файл с паролем?
    Какой программой? Скриптом?
    Я понимаю что возможно. Интересуют временные затраты и чем именно и как расшифровывать.

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Почитайте про RSA-шифрование, посмотрите длину публичного ключа, сам ключ и предложите быстрый способ его факторизации на два простых числа. Вопросы отпадут сами собой
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member Репутация
    Регистрация
    01.08.2014
    Сообщений
    10
    Вес репутации
    13
    Что делать с файлами и как избавится от вируса?

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Цитата Сообщение от Константин 1981 Посмотреть сообщение
    как избавится от вируса?
    Он тихо-мирно лежит себе в указанной в первом сообщении папке. Даже в автозагрузку при старте не прописывается

    Цитата Сообщение от Константин 1981 Посмотреть сообщение
    Что делать с файлами
    1. Удалить, если они не нужны
    2. Восстановить из резервных копий, если они есть и находятся на носителях, не подключенных к компьютеру в момент шифрования
    3. Перебирать пароли (и жизни может не хватить)
    4. Обращаться к злоумышленникам

    Увы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Junior Member Репутация
    Регистрация
    01.08.2014
    Сообщений
    10
    Вес репутации
    13
    Понял. Как его удалить из этой паки. Прогнал в безопасном режиме Вашими программами и Нодом. Пишут что нет вирусов на компьютере. Можно на нем работать?

  11. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Просто удалите эту папку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #10
    Junior Member Репутация
    Регистрация
    04.08.2014
    Сообщений
    2
    Вес репутации
    13
    А уверены что способ распространения вложением?
    Я перерыл весь архив с входящей почтой и не нашёл писем со странным вложением за период активности вируса.
    Единственное что нашёл - это письмо-спам с ссылкой по которой перешёл пользователь. Подозрение только на это...

  13. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    У кого-то вложение, у кого-то ссылка. Смотрите примеры тем в первом сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #12
    Junior Member Репутация
    Регистрация
    01.08.2014
    Сообщений
    10
    Вес репутации
    13
    Цитата Сообщение от thyrex Посмотреть сообщение
    Просто удалите эту папку
    Спасибо. Ребята из Касперского просят собрать и отправить им какие-то Логи, я проследовал инструкции -запустил три программы Rectodekriptor,Xorisdecriptor и Virus removal. Появился ождин отчет, я его прикрепил и отправил. Где брать эти логи и как они выглядят? И вообще надо ли париться если никто не дешифрует обратно файлы? Я честно говоря туповат в этой всей програмной начинке

  15. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Цитата Сообщение от Константин 1981 Посмотреть сообщение
    я проследовал инструкции -запустил три программы Rectodekriptor,Xorisdecriptor
    Байки не рассказывайте. Ни в одних правилах сбора логов на форумах, оказывающих помощь в избавлении последствий вирусов, нет подобного
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #14
    Junior Member Репутация
    Регистрация
    01.08.2014
    Сообщений
    10
    Вес репутации
    13
    Цитата Сообщение от thyrex Посмотреть сообщение
    Байки не рассказывайте. Ни в одних правилах сбора логов на форумах, оказывающих помощь в избавлении последствий вирусов, нет подобного
    я ж говорю не очень понимаю

    - - - Добавлено - - -

    Расшифрование возможно или нет

  17. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Прочитать первое сообщение темы, в которой пишете, тоже не в состоянии? Там ясно написано, при каких условиях возможна помощь. Кроме того, прочтите про длину пароля и соотнесите это с условиями возможной помощи - и сами ответите на свой вопрос
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Также рекомендую почитать эту статью http://virusinfo.info/showthread.php?t=164586 возможно поможет получить нужный ключ для расшифровки.

  19. #17
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    134
    Вес репутации
    38
    Добрый день!

    Нашел папку C:/tmp в которой находятся все перечисленные в первом посте файлы, удалил. На диске D:/ файлы с именем начинающимся на shapka тоже есть. Но они находятся не в папке tmp, а в директории D:\Программа\ВходящиеДокументы\Базы и называются shapka.dbf, shapka.FPT, shapkaxx.dbf, shapkaxx.FPT, sh_pok.CDX, sh_pok.dbf, sh_pok.fpt. Вопрос, могут ли эти файлы относиться к обозначенной заразе и, соответственно, стоит ли их удалять??
    Спасибо!

  20. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Не относятся
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #19
    Junior Member Репутация
    Регистрация
    04.08.2014
    Сообщений
    4
    Вес репутации
    13
    Добрый день!
    Есть новости по этому вирусу?

  22. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Каких новостей Вы ожидаете?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Страница 1 из 2 12 Последняя

Похожие темы

  1. Знакомый подцепил винлокер
    От skylancer-3441 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 31.08.2011, 22:42
  2. Старый знакомый Trojan.Win32.Inject.aohy
    От deadman в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 05.04.2011, 21:15
  3. Уже знакомый svchюst
    От darkstar в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 02.09.2010, 06:43
  4. Архивы сайтов. Смотрим старый дизаин
    От senyak в разделе Оффтоп
    Ответов: 1
    Последнее сообщение: 22.06.2008, 01:08

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01099 seconds with 16 queries