Страница 3 из 3 Первая 123
Показано с 41 по 54 из 54.

«Крякающий» шифровальщик (Trojan-Ransom.Win32.Cryakl или Trojan.Encoder.567)

  1. #41
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    Если вдруг, еще кто словит 4-ку (**4.0.0.0.cbf), написал небольшую программу, которая поможет оценить шансы на расшифровку, способом которым получилось восстановить у меня.
    https://yadi.sk/d/8GJJbRcJg27Dx
    Программа сыровата, если будут ошибки пишите в почту будем исправлять.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Junior Member Репутация
    Регистрация
    16.06.2015
    Сообщений
    2
    Вес репутации
    16
    Цитата Сообщение от thyrex Посмотреть сообщение
    ...Далее идет проверка наличия прав администратора. Как ни странно, принципиальной разницы в том, есть они или нет, я не заметил. Всё равно вызов процедуры шифрования есть в любом случае.....
    Речь лишь о запуске процедуры шифрования? Ограничения прав на уровне файловой системы в этом случае надеюсь не игнорируются?
    А каким образом происходит шифрование? Можно какими то политиками запретить шифрование файлов?
    Последний раз редактировалось drunkPal; 17.06.2015 в 11:03.

  4. #43
    Junior Member Репутация
    Регистрация
    16.06.2015
    Сообщений
    2
    Вес репутации
    16
    Никому не надо шифровальщика для анализа? (который версии CL-0.0.1.0)

  5. #44
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,686
    Вес репутации
    3075
    drunkPal, такое добро уже есть. Просто не стал писать анализ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #45
    Junior Member Репутация
    Регистрация
    29.07.2015
    Сообщений
    1
    Вес репутации
    16
    Добрый день! Подскажите файлы зашифрованные версией CL-1.0.0.0 есть шансы расшифровать?

  7. #46
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    18
    Наверно нет.

  8. #47
    Junior Member Репутация
    Регистрация
    09.12.2008
    Сообщений
    5
    Вес репутации
    40
    Есть ли шансы для
    email-Seven_Legion2@aol.com.ver-CL 1.0.0.0*.cbf
    email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0*.cbf

  9. #48
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,686
    Вес репутации
    3075
    На данный момент никаких
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #49
    Junior Member Репутация
    Регистрация
    28.09.2010
    Сообщений
    3
    Вес репутации
    34
    Цитата Сообщение от rigl Посмотреть сообщение
    Если вдруг, еще кто словит 4-ку (**4.0.0.0.cbf), написал небольшую программу, которая поможет оценить шансы на расшифровку, способом которым получилось восстановить у меня.
    https://yadi.sk/d/8GJJbRcJg27Dx
    Программа сыровата, если будут ошибки пишите в почту будем исправлять.
    Добрый день! Словил 4-ку. Запускаю вашу программу, указываю папку. Начинает сканировать и закрывается. Не могли бы помочь?

  11. #50
    Junior Member Репутация
    Регистрация
    12.12.2015
    Сообщений
    1
    Вес репутации
    15
    Здравствуйте! Есть задача анализа подобного трояна, судя по всему, тоже какой-то Cryakl или Encoder, возможно, какой-то модифицированный и более свежий, засветился недавно. Вы со знанием дела говорите о коде вируса, хотелось бы узнать, как его получить? Нужно просто дизассемблировать и анализировать код на ассемблере? Просто есть опасения, что наш вариант от него защищён. Если так, тогда что может помочь для анализа? Буду очень благодарен за помощь!

  12. #51
    External Specialist Репутация
    Регистрация
    09.02.2015
    Сообщений
    132
    Вес репутации
    18
    Если вирус чем то запакован, нужно снять пакет, а потом анализировать код на ассемблере.

  13. #52
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    17
    В связи с тем, что версия шифровальщика уже давно не актуальна.
    Хочу рассказать о том, как добывался ключ к этой заразе.
    Возможно информация будет кому-то полезной.
    Начну с благодарностей!
    Спасибо thyrex, за подробный анализ шифровальщика, он дал как раз ту самую ниточку, через которую все потянулось.
    Спасибо sergh1970 за дешифратор, на тот момент я имел весьма расплывчатые представление о реверсинге программ и убил бы много времени на нахождение алгоритма шифрования.
    Итак по порядку, была создана жертва - виртуальная машина. На ней было создано 5 файлов. 1-й содержал:
    0x00,0x00.......,
    второй,
    0x01,0x00,0x00...
    третий,
    0x01,0x00,0x01,0x00...
    четвертый
    0x01,0x01,0x01.....
    пятый
    0x01,0x02,0x03,...,0xFF,0x00.
    и каждый файл был скопирован 10 000 раз.
    Всего получилось 50 000 файлов.
    На жертву был установлен сниффер http трафика.
    Запускаем, сниффер показывает обращение к адресу, что-то вроде x51.domen.net/add_data.php(Скорее всего база данных) и post запрос в котором содержится все то, о чем писал thyrex. (Ручками поискал директории phpmyadmin, admin - пусто. Но поискать можно было).
    Ключ был перехвачен и расшифрован, отсюда вывод логирование post запросов, и проблему можно решить. Но кто же знал ?
    Аналитика файлов показала, что в шифровании имеет место быть порядковый номер бита, т.к. четко прослеживается восходящий тренд на диаграмме 0x00 файлов. Так же разброс значений четных байтов, отличался от нечетных.
    Когда я получил исходный код дешифровщика, сразу стало понятно почему так. Без разрешения sergh1970, я не могу показать код функции шифрования,(а точнее в его случае дешифрования).
    Было очевидно, без ключа нахрпом не взять.
    А что мы знаем о ключе, что он он состоит из 100 символов заглавных букв латинского алфавита и md5 hash выборки 40 букв из этой строки - это есть ключ для конкретного файла. Злодей не сказал какие буквы, но любезно подсказал их порядковые номера. И дал нам md5 хэш этого хэша с небольшой солью. Спасибо и на этом. Логика подсказывала, что при случайной выборке 40 из 100 будут повторения и как следствие сокращение неизвестных символов. Быстро была написана программа поиска повторов. Поиск мягко говоря шокировал, 40 повторов одного символа. (Файл выкладывался выше). Чуть не подпрыгнул от радости, один символ есть. Потом был найден файл с 3-мя символами. Итого уже 4-ре. Дальше уже искались минимальные повторы и уже найденные символы нам в этом сильно помогали. Примерно через 6 часов цепочка из 100 символов была воспроизведена в точности. Отлично, пора переходить к реальным испытаниям. Друг принес диск пострадавшего компа, поиск обнаружил около 100 000 зараженных. И первое разочарование минимум 12 символов, мой самописный переборщик выдавал 200 000 хэшей в сек, просчет показал достижимый предел 7-8 знаков. Не один из найденных GPU брутфорсеров, делать то, что мне надо было не мог (генерить по маске повтора + соль). На GPU результат будет на порядки выше (в расчете обычно беру 20 000 000 хэшей в сек). Печаль.
    Хорошо, присмотримся к нашей 100 символьной строке повнимательней. Как интересно - есть четкий тренд, код каждого следующего символа больше предыдущего на постоянную величину с небольшим отклонением (0-2). А значит, если один символ идет за другим, мне не надо перебирать 26 вариантов, а всего 3. Но величина отклонения и сам сдвиг, зависит от тиков на компе. И уж у меня они точно другие. Можно было повторно "заразить друга" и достать новый мастер ключ. Но злодей оставил нам еще одну подсказку, это id жертвы. 36 знаков генерируются аналогично мастер ключу, сразу перед ним, этого было вполне достаточно. Но по прежнему оставалось 1-2 знака до разумного времени (добывать месяцами я не хотел). В качестве гипотезы 4-х знаков я подсунул в один последовательный ряд id жертвы, смещал его. Бог увидел мои старания, часов через 5-6 переборщик сообщил, что хэш взломан. Друг отказывался верить в успех, пока файлы не будут расшифрованы. Восстановление всей цепочки заняло всю ночь, спать не хотелось совсем.
    Утром все успешно расшифровалось.
    К сожалению, помочь другим этим способом мне не удалось. Т.к. присылаемые файлы содержали минимум 20 и более символов. Один раз был 16, но была плохая последовательность. Отсюда пришлось сделать вывод, что нам очень повезло. Я стал думать, как еще можно помочь. Появилась идея написать генератор мастер ключа, вытаскивать из него 40 знаков и проверять их на соответствие. Метод не универсален и тестировался только на моей виртуальной машине. А это обязательное условие, тестировать на той машине на которой было заражение. Максимальное совпадения мастер ключа 99 знаков из 100. Исследуя генерируемые строки, было выявлено, что в определенный момент времени строка ключа может содержать n-символов подряд.
    Проверка всех когда-либо присланных мне файлов на этот баг, успехом не увенчалась.

  14. #53
    Junior Member (OID) Репутация
    Регистрация
    18.02.2016
    Сообщений
    1
    Вес репутации
    14
    могу предоставить свежий шифратор, на который попались. каспер его детектит, но базы оказались в не актуальном состоянии. кому надо скину

  15. #54
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,691
    Вес репутации
    1040
    Григорий Засим не надо. Такого добра хватает.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Страница 3 из 3 Первая 123

Похожие темы

  1. Троян Encoder [Trojan-Ransom.Win32.Cryakl.bo ]
    От CoStick в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 02.11.2014, 14:05
  2. Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.540]
    От thyrex в разделе Шифровальщики
    Ответов: 12
    Последнее сообщение: 22.10.2014, 18:10
  3. Ответов: 11
    Последнее сообщение: 04.08.2014, 10:41
  4. Ответов: 7
    Последнее сообщение: 02.08.2014, 23:00
  5. Ответов: 1
    Последнее сообщение: 14.07.2014, 06:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01536 seconds with 18 queries