Друга атака - файлове са опаковани в RAR архиви

PPT *. JPG. JPE *. док *. TXT. PDF формат. TIF. DBF. EPS. PSD. RAR. wbd. CDR. цип. PSB. PTX. ТКО. MRH. DBK. 4 db. SPS. MBD. WPS. сурови. Дубай. ПЕК. Mov. VOB. XLS *. DWG. CPP. XML. DXG. PDM. EPF. ERF. GRS. гео. VRP. YML. MDB. MDF. 1cd. катран. CDX. DXG. ODT. БДС. WPS. pst. RTF. ODB. SLX

След като се започне в папка C: \ ПТУ има всичко необходимо, за да кодира
За да работи, се използват от вируса на конзолната версия 5.0 WinRar архиватор

Във всяка папка създадете файл с име. Zashifpovanny файлове за постове. ТХТ следва (пример)

скрит текст

А сега малко за вируса.

детайли

След като се започне капкомер, извличане компоненти започва zap.exe. Той, от своя страна, води driver.bat

На екрана се появява съобщение за предполагаемото Microsoft Word грешка

Грешка във файла или файла е счупен

Този развод (инициатор - strt.exe файл). След закъснение от 75 секунди, файловата система е създаден. низ, който е записан

За да се избегне движение втора инстанция шифър проверки за testz файл. Ако тя не съществува, той е създаден. Чете съдържанието на файловата система. в резултат на което тече moar.exe файл. който vpolnyaet основната работа.

оригиналния файл записан psystem Образуваното въз основа на работа на брояча 64-байт паролата за система за архивиране на. Същият този ключ, докато програмата се съхраняват в паметта.

Има търсене на подходящия файл архивиране. Работещи архивирането е както следва

където
и - да се добави към архива
-EP1 - да се изключат по пътя от базовата директория
-DW - изтриване на оригиналния файл
Останалото, според мен, е ясна и добре

След този ключ се криптира с помощта на алгоритми и файлови съдържанието на RSA

public.cod

обществен мод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
публичен ключ = 932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD989A4EE1739A0465ECD709C392C20A70F14DA22A197999F0347BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22BAB68BCED

и записани в ключов файл (ако вече съществува, тази стъпка се прескача, а ако там не е, тогава ключът преустроена е писано и psystem паста в него оригиналния ключ за шифриране файла.).

В папката с компресиран файл, файл с послание за изнудване, в края на който е написан на криптиран ключ (и не проверка за файл със съобщение да не се случва, а тя е създадена от нулата всеки път)

Оценка на възможността за дешифриране:
- е възможно:
-- Опитните потребители (разбиране в програмирането, притежаващи умения за работа с програмата, Winhex, PE Tools), ако е време, за да забележите процеса на шифроване, за да се късат на ключа за програмата памет;
-- Ако антивирусните компании ще искат да се занимават с прости ключове за търсене;

- невъзможно:
-- ако шифъра приключи, и имаше само криптиран файл с ключ;
-- антивирусни компании няма да се занимавам с ключове за търсене.

Послепис Първоначално, когато за първи път започват да се появяват с темата на тази чума, вирусът е бил открит от Kaspersky Lab като не-а-вирус: RiskTool.Win32.Crypter.hq (VirusTotal темперирани стария детектив) Сега актуализиран за откриване на троянски-Ransom.Win32.Agent.icj

антивирусен Помощ

Също така, изпратено до архива с двете програми (препратка към файла, ако е необходимо - да изпрати администраторите изведнъж ще бъде от полза) и го придружи следното писмо

скрит текст

kopiruete faili moar.exe аз rar.exe срещу lubuu directoriu.
zapuskaete moar.exe

Na Екран nichego СИ vvivoditsya vobshe (neuspeli napisat).
zapustite. Програма VSE rasshifruet аз сама vigruzitsya.

Chto Програма rabotaet - nazhmite Ctrl + Alt + дел -> zapustit dispetcher
zadach -> vkladka processi.

о processah uvidite Mnogo vsykoi figni аз uvidete rabotaushii провали
(Moar.exe). esli rabotaet - IDET rasshifrovka. KAK propadet ИЗ processov -
VSE gotovo.

zashifrovannie faili СИ udalyautsya (нa vsyak sluchai - Пъст snachala VSE
rasshifruetsya). esli надо potom udalit - otpishite, prishlu progu,
kotoraya udalit RAR. Imenno * .rar, nichego drugogo ..

rasshifrovka nachinaetsya и diska Z. potom X: и Так направи:

Rasshifrovivaetsu и directorii AAA, potom ВВВ. (Eto Так mozhno бистро
naiti resultati).

Esli Chto СИ так - pishite. А до ф odnih пф zashifrovalos VSE, а potom Na
drugom kompe zapustili аз VSE zashifrovannoe opyat zashifrovalos. Аз так ESE
Три Раза. О Tam slozhno KAK VSE Било. Vse kluchi zashifrovanni н.д Раз.

Публикувано от thyrex

Така че ние възстановени двата компютъра в продължение на 3 дни.

stack515. Може би ми писа за това по-нататък с предишната версия. Да, разбира се, този метод ще се намали времето за бюст, но е подходящ за напреднали потребители, от които, за съжаление, по-голямата малцинство

антивирусен Помощ

thyrex. може би ще пише на моя колега. Съгласен съм, че този метод е подходящ за напреднали. Мога, разбира се, оптимист, но ми се стори, че много от тях са напреднали приятели, които знаят тези съвети могат да опитат.

PS: В борбата с тази напаст, която сме създали за "инструмент", който генерира всички възможни парола за архива в избрания времеви интервал. Ако някой е необходимо - мога да изложи. Ние трябва да обхождате през опциите, използващи същата rar.exe, кои файлове са криптирани, но е налице хипотеза, която е генерирала "комунални" клавиши можете да се подхлъзнат като речника в lomalka RARov. Може би това ще бъде много по-бързо.

Публикувано от thyrex

В Windows XP, това, за съжаление, не е установено (това е времето на системата)

Да, но много хора, особено в организации изключите компютрите през нощта. В този случай, е възможно и да се опитаме да възстановим XP. Между другото с W7, има един неприятен момент: ако компютърът е заспал, на гишето, което е написано в трупите - не е, и е GetTickCount. На моя лаптоп несъответствие два пъти за тези параметри. В този случай, от лога трябва да се вземат първия запис от багажника на сесия, в която е бил заразен. Тогава всички наведнъж.

Публикувано от thyrex

Аз също беше идеята за нещо като запис. Но сега, просто nestal притеснява. Защото, ако това е лесно, можете да ми изпратите имейл (опитайте онлайн инструменти, ако не, пишете на администратора да ми изпратите бележка) програма, създадена от вас. И ако източникът закрепвате, тя ще направи глоба

Изпратих. Има и друго обяснение за принципа на работа "полезност".

Mag1str0. Първо трябва малко информация:
1. Какво OS?
2. Дали компютър / лаптоп ще спи?
3. е изключен през нощта?
4. Възможно ли е да се знае точното време на първия заразен файл? (Това трябва да се търси за всички устройства. Особено на мрежата и да се прибира.)

От тези фактори зависи от случайността.

Публикувано от thyrex

Получих. Вече пише в свой ключов генератор

Супер! И ако не е тайна алгоритъм поколение ви разследва? Аз просто исках да изследвам, но не са имали време, така че реших да се промени готов код на вируса, за да го превърне в ключов генератор. Това е много ефективна.

Файловете са възстановени, като плащат на създателя на вируса, много важна подробност, ако вирусът е да стартирате няколко пъти, той ще трябва да направите резервно копие на архивираните файлове и е с различна парола, тя ще бъде много по-трудно да ги възстанови, а ако разопаковане ще имат две копия на файловете. Бях изпратен няколко програми _ да декомпресира с парола, за да разопаковате друга парола, за да разопаковате един и втора парола, както и програма за отстраняване на всички файлове, създадени от тази програма. Това е всичко.
И на същата мрежа устройството не разполага с достатъчно пространство, за да разопаковате файловете, сега ще трябва да се направи място и разопаковането. Това също е един малък проблем.

Също така бих искал да се получи генератор.
1. Win7
2. Сънят не си отиде
3. В нощта на разстояние. Какво се е случило в деня на инфекция, така че компютърът е изключен, дори по време на работа на вируса - нямаше време да се отървете от всички дискове.
4. Можете да опитате да имат време за получаване "вземане" на писмото, опитайте се да се търси повече от един файл.