Показано с 1 по 5 из 5.

Trojan Ransom шифровальщик .dat вымогатель. Сбор информации, для создания Decryptor_а и скорейшего добавления трояна во все антивирусные базы!

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2019
    Сообщений
    3
    Вес репутации
    3

    Trojan Ransom шифровальщик .dat вымогатель. Сбор информации, для создания Decryptor_а и скорейшего добавления трояна во все антивирусные базы!

    virustotal: https://www.virustotal.com/ru/file/4...is/1547137811/

    Архив с !вирусом .dat шифровальщиком, для создания декриптора: ***

    Список файлов Trojan Ransom шифровальщика в архиве:

    Файл закриптованный в .dat вирусом: http://www.mediafire.com/file/0x5cxh...0.pdf.dat/file

    Тот же файл оригинальный и не зашифрованный: http://www.mediafire.com/file/377ruf...1%82%D0%B0.pdf



    В программе RedirectGen всплывает сообщение, о том, что вышла новая версия:
    , но на самом деле в архиве исполняемый файл называется не RedirectGen.exe, а Project1.exe и содержит вирус-шифровальщик.

    Всего вирус прошёлся по 3800 папкам
    и оставил там файл "DecryptFiles.txt"
    с почтой "blackmagic8@yandex.com" Дата шифрования файлов вирусом, примерно 3:40 09.01.2019

    Скрин работы Kaspersky RectorDecryptor(нашёл много файлов, которые не относятся к зашифрованным):

    Что известно об этом вирусе

    Расширение: .dat
    Email: blackmagic8@yandex.com
    Записка: DecryptFiles.txt
    Содержание записки:
    blackmagic8@yandex.com

    P.S

    Нашёл программу для дешифровки
    , но нужно вытащить ключ из этого трояна, который он использовал для шифровки в .dat и эта версия TeslaDecoder, не поддерживает .dat расшифровку.
    Изображения Изображения
    Последний раз редактировалось Никита Соловьев; 10.01.2019 в 23:44. Причина: Вредоносные программы пбуликовать запрещено. Используйте ссылку в теме "вирус или нет".

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,561
    Вес репутации
    3073
    Цитата Сообщение от pranging Посмотреть сообщение
    Нашёл программу для дешифровки
    Дешифратор для TeslaCrypt тут ничем не поможет.

    Расшифровки этой версии шифратора Help50 нет.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    10.01.2019
    Сообщений
    3
    Вес репутации
    3
    Цитата Сообщение от thyrex Посмотреть сообщение
    Дешифратор для TeslaCrypt тут ничем не поможет.

    Расшифровки этой версии шифратора Help50 нет.
    А если взломать этот троян через dnSpy
    и переделать в расшифровщик?

    - - - - -Добавлено - - - - -

    Добавлю ещё немного инфы. Вирус начал работу в 3:37 09.01.2019, перестал шифровать в 4:45 09.01.2019 За это время он оставил 3800 файлов "DecryptFiles.txt" и прошёл столько же папок, всего закодировал ~71262 файла, используя ~3.3% от 100% процессора. Первый файл "DecryptFiles.txt", появился по пути C:\Users\ИмяПК\AppData\Local\VirtualStore далее C:\WMSDK\MTPPK12 и выше W по алфавиту, после,перейдя на внешний жёсткий диск, также поднялся снизу вверх по алфавиту. В итоге я выгрузил процесс "Project1.exe" (при запуске иконка на панели задач - не появлялась, только в диспетчере задач висел этот процесс) из диспетчера задач, видимо заметив закриптованные файлы на рабочем столе.

    - - - - -Добавлено - - - - -

    Сейчас только 3 антивируса на virustotal из 70(3 антвируса вообще не подгрузились)
    детектят "Project.exe", а остальные 67 спят! Пару дней назад детектили толко Avast и AVG, сейчас и Eset подключился.
    Последний раз редактировалось pranging; 14.01.2019 в 02:29.

  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,561
    Вес репутации
    3073
    А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #5
    Junior Member Репутация
    Регистрация
    10.01.2019
    Сообщений
    3
    Вес репутации
    3
    Цитата Сообщение от thyrex Посмотреть сообщение
    А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки?
    Знать бы, какое расширение к нему дописать. Ещё такой вопрос, перед откатом точки восстановления(после того, как вирус закончил шифровать, он не удалил теневые копии), я заходил в ShadowExplorerPortable и там было видно, что в теневой копии есть все незакриптованные файлы, но решил их восстановить после отката. После перезагрузки и успешно восстановленной точки(за день до запуска вируса), зашёл в ShadowExplorerPortable и не обнаружил, не новых, не старых точек восстановления. Как найти через Hetman Partition Recovery, R-Studio, Stellar Phoenix Windows Data Recovery - Professional, Recuva (или посоветуйте какую прогу юзать), удалённые точки и вернуть их обратно в папку System Volume Information? Ещё в windows.old (хранится отдельно на внешнем диске) есть System Volume Information и так все точки целые, как правильно перенести точки, чтобы восстановить нужные файлы через ShadowExplorer?

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 07.03.2013, 09:37
  2. Index.dat Analyzer: утилита для работы с файлами index.dat
    От Matias в разделе Другие программы по безопасности
    Ответов: 0
    Последнее сообщение: 06.01.2013, 16:50
  3. Сбор информации по лечению + отчет
    От altima88 в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 24.09.2009, 10:46
  4. Сбор информации о системе
    От Татьна в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 26.10.2007, 16:34
  5. Существует ли тулза для создания свой антивирусной базы?
    От Tra1toR в разделе Вредоносные программы
    Ответов: 4
    Последнее сообщение: 27.11.2005, 17:20

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00601 seconds with 18 queries