Показано с 1 по 15 из 15.

Новые Винлоки, методы разблокировки

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2009
    Сообщений
    16
    Вес репутации
    66

    Новые Винлоки, методы разблокировки


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    383
    интересно
    но удобнее скопировать пост, оставив ссылку на источник, чтобы читающих не напрягать лишними кликами/переходами

    Судя по всему, пошла очередная волна Винлоков. Старые коды не работают.

    Алгоритм подбора кодов:
    1. Выставляете на компьютере в дату 21.01.2010 (двойной щелчок мышкой по часам в правом нижнем углу экрана, если не работает, то в BIOSе).

    2. Алгоритм подходит практически для всех кодов, но не для всех.
    Ваш код должен выглядеть как K20*815*00, где * – любые цифры. Например, K205815300.

    Для кода вида К206015*00 смотрите ниже.
    Для кода вида K210315*00 (* – любое число) помогает код активации 544624144 (если он вам помог – сообщите в комментариях, пожалуйста)
    Если ваш код выглядит иначе или мой алгоритм вам не помог, то вам надо сюда – там есть номер бесплатного телефона, где выдают код разблокировки.

    3. Выбираете ваш вариант кода (обратите внимание на 3-ю цифру слева) и выписываете на листок бумаги ответный код

    K201815*00 – U31675*74
    K202815*00 – U32675*74
    K203815*00 – U33675*74
    K204815*00 – UH675*74 или U34675*74
    K205815*00 – U35675*74
    K206815*00 – U36675*74
    K207815*00 – U37675*74
    K208815*00 – UD675*74 или U38675*74
    K209815*00 – U39675*74
    Обратите внимание на первую букву в ответном коде. Это ЗАГЛАВНАЯ английская буква U (произносится как “у”).
    Например, для кода K205815300 выписываете на листок U35675*74

    4. Вместо * в ответном коде подставляете цифру из первого кода, стоящие на месте звёздочки * в вашем коде, но увеличенную на 8. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 6 (так как 7+8=15, крайняя справа цифра 5, а 5+1=6). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:

    Вместо 0 записываете 8
    Вместо 1 записываете 9
    Вместо 2 записываете 1
    Вместо 3 записываете 2
    Вместо 4 записываете 3
    Вместо 5 записываете 4
    Вместо 6 записываете 5
    Вместо 7 записываете 6
    Вместо 8 записываете 7
    Вместо 9 записываете 8
    Для моего примера K205815300 в результате получите код U35675274

    5. Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

    Не забудьте поменять дату на текущую.
    Желательно запустить восстановление системы на пару-тройку недель назад (Пуск – Все программы – Стандартные – Служебные – Восстановление системы). Данная процедура полностью безопасна для ваших файлов с данными.

    Если Вы захотите поблагодарить меня за составленный алгоритм, то можете проголосовать за мой блог. Подробности

    Алгоритм для кода вида К206 015 *00 (где * – какая-то цифра):

    Для кода К206015*00 ответный код будет ZPR2*36, где * – цифра от 1 до 9, подбирайте по очереди.
    Если не подойдет, то для кода К206015*00 ответный код будет ZPR*36, где * – ЗАГЛАВНАЯ буква английского алфавита. Какая именно – подбирайте по очереди начиная с А

    Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после неправильного кода перезагружать компьютер.

    Например, для кода 206 015 300 ответным кодом будет ZPRD36

    Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

    Не забудьте поменять дату на текущую.
    Желательно запустить восстановление системы на пару-тройку недель назад (Пуск – Все программы – Стандартные – Служебные – Восстановление системы). Данная процедура полностью безопасна для ваших файлов с данными.

    Если Вы захотите поблагодарить меня за составленный алгоритм, то можете проголосовать за мой блог. Подробности

    В свою очередь я благодарю всех, кто помогал мне, сообщая свои коды и ответные коды, полученные от агрегатора смс
    Мир не без добрых людей

    Взято отсюда.
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от a5b Посмотреть сообщение
    Спасибо, у меня как раз свеженький локер, просит к204815000 на 4460. Буду пробовать.
    Это что эксперименты/тренировка по подборке кодов?
    Кстати, очень многие разблокировав успокаиваются, я бы не советовал, зловред то все равно остается. Вот свежий пример http://virusinfo.info/showthread.php?t=68689

  5. #4
    Junior Member Репутация
    Регистрация
    13.01.2010
    Сообщений
    5
    Вес репутации
    52
    Цитата Сообщение от SDA Посмотреть сообщение
    Кстати, очень многие разблокировав успокаиваются, я бы не советовал, зловред то все равно остается.
    да, похоже формируется новая ботсеть. все это выглядит безобидно. и коды разблокировки появиляются так быстро неспроста. создателям необходимо сделать так, чтобы этой угрозы не боялись. тогда она сможет быстро распространяться и сразу же удаляться оставляя за собой след, который либо уже самодастаточен для выполнения дальнейших планов злоумышленника, либо догрузится незаметно позже.

    мне кажется, что основной сегодняшней проблемой является то, что руткит мы так и не удаляем из системы. мы всего лишь заставляем его на время сдать позиции и уйти в тень. к примеру, после ввода кода разблокировки в новых версиях винлоков, AVZ не нахоит никаких следов. а до ввода кода антируткит запустить невозомжно.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от timson Посмотреть сообщение
    да, похоже формируется новая ботсеть. .
    Да очень похоже, эпидемия будет расширяться, пока только на просторах СНГ, а дальше посмотрим, но ситуация оптимизма не добавляет, тем более, что антивирусные вендоры пока топчуться на одном месте и кроме помощи при разблокировке, реально помочь не могут. По большому счету все вычищается руками, с помощью различных спецутилит типа AVZ

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.10.2008
    Сообщений
    332
    Вес репутации
    73
    интересно, почему такие простые алгоритмы кодов активации? Все можно рассчитать на бумажке... Что будет когда вирмейкер применять хотя бы - XOR?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    интересно, почему такие простые алгоритмы кодов активации?

    Думаю, из-за того что Винлокер в компании с ворователями паролей идет. или пока это тренировка.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Если понимать смысл создания винлокеров, то всё становится ясно и предсказуемо.
    Создание и администрирование ботнета - вещь прибыльная, но трудоёмкая. А тут - чистый доход от смс. И доход большой. Очень.
    В итого имеем: массу сокращённых ITшников и программеров и желание зарабатывать на хлеб. Быстро из без пыли. Отсюда - модернизация и усовершенствование кода, поскольку кодят серьёзные люди, а не пацаны с третьего курса. А потом кому-то пришла в голову идея: зачем переделывать когда можно перепаковать? Пакеров - масса, депакеры создаются долго, специалистов для этого не хватает - в итого "новые" старые версии можно делать хоть через час!

    Но вот беда - в человеческой натуре хотеть большего. Завышать стоимость смс опасно - на это не пойдёт контент-провайдер (слишком уже опасные суммы получаются, можно схлопотать), да и заражённый быстрее переустановит систему. И тут все вспомнили про немного подзабытые ботнеты. Да, админить сложно и опасно - но ботнет можно и продать! Потому и начались боты в комплекте. Сначала был zBot (sdra64). Теперь - всё серьёзнее. Второй виток спирали: идея и совершенствование самих смс-вымогателей себя исчерпало, теперь очередь за ботнетом.

    А теперь внимание вопрос: как угадывают механизм кодирования, когда сам файл не только обфусцирован, но и ещё и запакован? Неужели вы верите, что один человек (да хоть несколько - это всё равно не антивирусная компания с отделом специалистов) сидел месяц за системой, заражая её и подбирая брутфорс? Да если бы так и было - то его итог уже бы безнадёжно устарел, поскольку авторы-вирусописатели давным-давно выпустили бы новую версию (именно новую, а не перепакованную).

    Так что имеем абсолютно точную картину формирования ботнетов. AVZ пока справляется, хотя тревожные случаи уже есть (удалить не так просто, хотя заразу видно). Антивирусные вендоры пока спотыкаются об проблему пакеров. Так что, как ни пафосно и нескромно звучит, но единственная помощь - это VirusInfo и его хелперы....

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от gjf Посмотреть сообщение
    Так что, как ни пафосно и нескромно звучит, но единственная помощь - это VirusInfo и его хелперы....
    И про бекап не забываем

    Кстати, блокиратора теоретически можно накодить даже на MacOS X. Один специалист уже накодил аля Винлокер для Мака, пока как программу шутку http://virusinfo.info/showthread.php?t=69632

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    SDA, опять возвращаемся к главной идее: зачем всё это? Ответ прозрачен: для денег. Какое соотношение пользователей Windows и Mac OS в мире? Ну и абсолютно очевидно, в какую сторону копать.

    При таком раскладе куда интереснее (читай - выгоднее) изучать кодерство под Win 7 чем под Leopard.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от gjf Посмотреть сообщение
    [B]
    При таком раскладе куда интереснее (читай - выгоднее) изучать кодерство под Win 7 чем под Leopard.
    Одно другому не мешает, тем более маководы люди не бедные
    Единственная проблема - не встанет в автозагрузку MacOS X зловред без рутовского пароля если не изобретут модификацию кода программы для ее самостоятельной прописки в автозагрузку, да и почистить его можно в режиме сингл моде.
    А вообще я этот пример привел для того, чтобы было видно, что накодить винлок при желании не особо трудно на первый этап, если уж с маком эксперименты пошли из подручного материала на сайте Apple.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от SDA Посмотреть сообщение
    если не изобретут модификацию кода программы для ее самостоятельной прописки в автозагрузку
    Не будут изобретать. Ставиться будет стандартным инсталлятором, и даже с принятием лицензионного соглашения

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    Раз ситуация такая , я всё-таки заранее направил бы коллективные усилия в сторону создания стандартного, компактного лайвСД с AVZ на борту и написанной вновь утилитой, которая загружала бы реестр установленной ОС, отдельно, без приаттачивания к виртуальному, и давала AVZ возможность (или заставляла) работать только с ним. Можно ещё несколько утилит - для проверки подлинности системных файлов, нахождения хитрых способов их сокрытыя... Можно свежий релиз(ы) CureIT.
    Но я не могу. У меня не математический склад ума. Я вообще гуманитарий по натуре.

  15. #14
    Junior Member Репутация
    Регистрация
    26.11.2009
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от Erekle Посмотреть сообщение
    Раз ситуация такая , я всё-таки заранее направил бы коллективные усилия в сторону создания стандартного, компактного лайвСД с AVZ на борту и написанной вновь утилитой, которая загружала бы реестр установленной ОС, отдельно, без приаттачивания к виртуальному, и давала AVZ возможность (или заставляла) работать только с ним. Можно ещё несколько утилит - для проверки подлинности системных файлов, нахождения хитрых способов их сокрытыя... Можно свежий релиз(ы) CureIT.
    Но я не могу. У меня не математический склад ума. Я вообще гуманитарий по натуре.
    Ну а что, антивирусы же обзавелись, пора и AVZ свой лайвСД иметь.
    "Не переживайте, скоро все гикнеца"

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    с AVZ на борту и написанной вновь утилитой, которая загружала бы реестр установленной ОС, отдельно, без приаттачивания к виртуальному, и давала AVZ возможность (или заставляла) работать только с ним
    На OSzone спросили о подобной программе. Покопавшись, обнаружил, что такая программа, для редактирования "мертвого" реестра (его файлов) есть и, более того, имеется у меня на диске, и является одной из малочисленных прог, установленных правильно, с инсталляцией. Это из-за того, что невольно стремился к унификации, и орудовать в реестре прывык с помощью менеджеров автозагрузки и специальных утилит типа антируткитов (у которых работа с реестром имеется). И о программе забыл, а у неё даже монитор реестра присутсвует.
    Указали ещё на две утилиты, консольные и бесплатные. Тем лучше.

Похожие темы

  1. Версия Dr.Web 6.0: новые возможности, новые компоненты, новые продукты
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 15.03.2010, 22:07
  2. Методы обхода UAC
    От XP user в разделе Оффтоп
    Ответов: 25
    Последнее сообщение: 22.06.2009, 15:58

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00042 seconds with 19 queries