Un alt atac - fișierele sunt ambalate în arhive RAR-

ppt *. jpg. jpe *. doc *. txt. pdf. TIF. DBF. eps. PSD. .rar. WBD. cdr. zip. PSB. PTX. TST. MRH. DBK. 4db. sps. MBD. WPS. prime. dxb. PEK. mov. vob. xls *. DWG. cpp. XML. DXG. PDM. EPF. erf. GRS. geo. VRP. YML. MDB. MDF. 1CD. tar. cdx. DXG. ODT. OBD. WPS. pst. rtf. ODB. SLX

După ce a început în dosarul C: \ tmp este tot ce ai nevoie pentru a cripta
Pentru a lucra, virusul foloseste versiunea 5.0 consola WinRar Archiver

În fiecare dosar a crea un fișier numit. Zashifpovanny fișiere la posturi. txt (exemplu)

text ascuns

Și acum un pic despre virus.

detalii

După pornirea picurator, extragerea componentelor începe zap.exe. El, la rândul său, declanșează driver.bat

Ecranul afișează un mesaj despre presupusa eroare Microsoft Word

Eroare în fișierul sau fișierul este rupt

Acest divorț (inițiator - fișier strt.exe). După o întârziere de 75 de secunde, este creat sistemul de fișiere. un șir de caractere care este înregistrat

Pentru a se evita un al doilea exemplu verifică cifru pentru fișier testz. În cazul în care nu există, este creat. Citește conținutul sistemului de fișiere. ca urmare a care rula fișiere moar.exe. care vpolnyaet muncă de bază.

Originalul psystem fișierul înregistrat generat pe baza de funcționare a contorului de timp parola de 64-octet pentru sistemul de arhivare. Aceeași tastă în timp ce programul este stocat în memorie.

Există o căutare pentru arhivarea de fișiere corespunzătoare. Rularea de rezervă este după cum urmează

unde
și - pentru a adăuga la arhivă
-EP1 - pentru a exclude calea din directorul de bază
-dw - șterge fișierul original
Restul, cred, este clar și bine

După această cheie este criptat folosind algoritmul de fișiere și conținutul RSA

public.cod

mod publice = 49320DDB1AD5278EAA389F1A0B899956A63829A7D3C692F88DF078ECCDD6689775F9ED9FFF531AFAE0D3E253056C7FB8BBCF7DEDB4B9CA9FAA0DF24AA34E611466440355F6F1D680187E9D0CC447BEDF06D34F462D8D8B35CD92B4DC6C7C493EF4D76D38B9728CCB33E31DCF861F1EEFC9D03E3D6A32C7F726EC14D2A8607C19C4BE7396F05D1E1A2399FAF6B86CBFB7439EC0D4C0BB97A4DD22F83FB388E968D0559CA42A15F6CC51B384AB8993C6120636C7C39289E0A19FB87C7A166FA78506E1CA86C77517AF6609C2AB2F689810933C4708646470D83397F2C56EECCD854B90E4522BE484BDC8520708D917A9E2CB80E7AFE06E8EC31380F14F5F4E85CB
cheie publică = 932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD989A4EE1739A0465ECD709C392C20A70F14DA22A197999F0347BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22BAB68BCED


și înregistrate în fișierul cheie (dacă există deja, acest pas este omis, dacă nu există, atunci cheia este convertit în scris și pasta de psystem în ea original de criptare fișierul cheie.).

În dosarul cu fișierul arhivat, un fișier cu un mesaj de extorcare de fonduri, la sfârșitul căreia este scris cheia criptată (și nici o verificare pentru un fișier cu un mesaj nu apare, și este creat de la zero de fiecare dată)

Evaluarea posibilității de descifrare:
- posibil:
-- Utilizatorii experimentați (înțelegere în programare, care posedă abilitățile de a lucra cu programul, WinHex, Unelte PE), în cazul în care timpul pentru a observa procesul de criptare, pentru a rupe din cheia de memorie de program;
-- În cazul în care companiile anti-virus va dori să se angajeze în chei simple de căutare;

- imposibilă:
-- în cazul în care cifrul terminat, și acolo a fost doar fișierul cheie criptat;
-- companiile antivirus nu va deranja cu cheile de căutare.

P.S. Inițial, când am început să apară mai întâi cu tema acestei ciuma, virusul a fost detectat de Kaspersky Lab ca nu-o-virus: RiskTool.Win32.Crypter.hq (VirusTotal alipite detectiv vechi) acum actualizat pentru a detecta Trojan-Ransom.Win32.Agent.icj

antivirus Ajutor

De asemenea, a trimis la arhiva cu cele două programe (o trimitere la dosar, dacă este necesar - trimite admini dintr-o dată va fi util) și l-au escortat următoarea literă

text ascuns

kopiruete faili moar.exe i rar.exe v lubuu directoriu.
moar.exe zapuskaete

na Ekran nichego ne vvivoditsya vobshe (napisat neuspeli).
zapustite. programma vse rasshifruet i sama vigruzitsya.

chto programma rabotaet - nazhmite ctrl + alt + del -> zapustit dispetcher
zadach -> vkladka transformare.

v processah uvidite mnogo vsykoi figni i uvidete rabotaushii nu reușesc
(Moar.exe). Esli rabotaet - rasshifrovka idet. Kak propadet iz processov -
vse gotovo.

zashifrovannie faili ne udalyautsya (na vsyak sluchai - Pust snachala vse
rasshifruetsya). esli nado potom udalit - otpishite, prishlu progu,
kotoraya udalit RAr. Imenno * .rar, nichego drugogo ..

rasshifrovka nachinaetsya s diska Z. potom X: i tak do A:

Rasshifrovivaetsu s AAA directorii, potom BBB. (Eto tak mozhno bistro
naiti resultati).

Esli chto ne tak - pishite. A la u odnih Tut zashifrovalos vse, o potom na
drugom kompe zapustili i vse zashifrovannoe opyat zashifrovalos. I tak ese
Tri Raza. Oh slozhno Kak vse Tam Bilo. Vse kluchi zashifrovanni NES Raz.

Postat de thyrex

- imposibilă:
-- în cazul în care cifrul terminat, și acolo a fost doar fișierul cheie criptat;
-- companiile antivirus nu va deranja cu cheile de căutare.


Așa că am restaurat cele două calculatoare timp de 3 zile.

stack515. Poate că mi-a scris despre acest lucru în continuare versiunea anterioară. Da, desigur, această metodă va reduce în timp busting, dar este potrivit pentru utilizatorii avansați, din care, din păcate, marea minoritate

antivirus Ajutor

thyrex. poate ai scris colegului meu. Sunt de acord că această metodă este potrivit pentru avansat. Eu pot, desigur, un optimist, dar mi se părea că mulți au avansat prieteni care cunosc aceste sfaturi pot încerca.

PS: În lupta împotriva acestui flagel, am creat un „instrument“ care genereaza toate parola posibile pentru arhiva în intervalul de timp selectat. Dacă cineva este nevoie - eu pot pune afară. Trebuie să itera prin opțiunile folosind același rar.exe, care sunt criptate fișiere, dar există o ipoteză care a generat „utilitate“ chei vă poate aluneca ca un dicționar în lomalka RARov. Poate că acest lucru va fi mult mai rapid.

Postat de thyrex

În Windows XP, acest lucru, din păcate, este nu a fost găsit (era momentul sistemului)

Da, dar mulți oameni în special în cadrul organizațiilor opri computerele pe timp de noapte. În acest caz, este posibil și să încerce să restabilească XP. Apropo, cu W7, există un moment neplăcut: în cazul în care computerul este adormit, contorul, care este scris în jurnalele - nu este, și este GetTickCount. Pe discrepanță laptop-ul meu de două ori pentru acești parametri. În acest caz, o parte din jurnalul trebuie să ia prima intrare din burduful sesiunii în care a fost infectat. Apoi, dintr-o dată.

Postat de thyrex

Eu, de asemenea, a fost ideea de a scrie ceva de genul. Dar acum, doar nestal deranjez. Pentru că dacă este ușor, puteți trimite-mi un e-mail (încercați instrumente on-line, în cazul în care nu, scrie administratorului să-mi trimită o notă), program creat de tine. Și dacă sursa atașați, se va face bine

Am trimis. Există o altă explicație pentru principiul de funcționare al „utilitate“.

Mag1str0. În primul rând aveți nevoie de un pic de informații:
1. Ce sistem de operare?
2. Este calculator / laptop merge la culcare?
3. este oprit pe timp de noapte?
4. Este posibil să se cunoască timpul exact al primului fișier infectat? (Trebuie să fie căutate pentru toate unitățile. Mai ales pe rețea și amovibil.)

Din acești factori depind de sansa.

Postat de thyrex

Am primit. a scris deja generatorul său cheie

Se răcește! Și dacă nu un algoritm de generare secretă ai cercetat? Am vrut doar să exploreze, dar nu am avut timp, așa că am decis să schimbe codul gata de virus pentru a transforma într-un generator de cheie. A fost foarte eficient.

Fișierele recuperate prin plata creatorul virusului, un detaliu foarte important, în cazul în care virusul este de a rula de cateva ori, el va trebui să o copie de rezervă pentru fișierele arhivate și au o parolă diferită, acesta va fi mult mai greu de a le recupera, iar dacă despachetare va avea două copii ale fișierelor. Am fost trimis câteva programe _ pentru a decomprima cu o parolă pentru a despacheta o parolă pentru a despacheta una și oa doua parolă și un program pentru a elimina toate fișierele create de acest program. Asta e.
Și în aceeași unitate de rețea nu are spațiu suficient pentru a despacheta fișierele, vor avea acum pentru a face loc și despachetați. Acesta este, de asemenea, un pic de o problemă.

Aș dori, de asemenea, pentru a obține un generator.
1. Win7
2. Visul nu merge mai departe
3. În noaptea liberă. Ce sa întâmplat în ziua de infecție, astfel încât computerul este oprit chiar și în timpul funcționării virusului - nu a avut timp pentru a scăpa de toate discurile.
4. Puteți încerca să aibă timpul de primire „cerere“ scrisoarea, încercați să caute primul fișier.