Форум города Пущино: НАШ ФОРУМ
 
Облако тегов:
Навигация форума:
Герб города ПущиноФорум Пущино  

Для полноценной работы с сайтом вам необходимо установить Adobe Flash Player не ниже 10-ой версии.

Вернуться   Форум города Пущино > Hard & Soft > Информационная безопасность
На главную Форумы Регистрация Правила форума Русская баняДневники Поиск Сообщения за день Все разделы прочитаны
Важная информация

Информационная безопасность Антивирусы, Firewall и другие средства защиты от злоумышленников.

Оценка этой теме - Опасный вирус в локалке шифрует файлы.
(14)
Рейтинг темы: голосов - 14, средняя оценка - 4.79.

Ответ
 
Опции темы Опции просмотра
Старый 08.08.2013, 11:01   #136
Новенький
 

Регистрация: 07.08.2013
Сообщений: 4
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
AndersonGH пока неопределено; 0%AndersonGH пока неопределено, 0%AndersonGH пока неопределено, 0%
Очки: 18, Уровень: 1 Очки: 18, Уровень: 1 Очки: 18, Уровень: 1
Опыт: 35% Опыт: 35% Опыт: 35%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

У меня .banan@blader.com_IQ41
Вирус как-то странно прошелся по файлам, какие-то зашифровал и к имени файла добавил свою приписку .banan@blader.com_IQ41, а какие-то файлы просто переименовал, убираешь из имени эту приписку и файл нормально открывается..
В зашифрованных файлах похоже первые 50 символов (байт) изменены, возможно что в середене файла тоже, не могу точно сказать.
Длина файла не меняется.
Первый байт ( символ ) в зашифрованных вроде бы у всех один и тот же - 13 (HEX)
AndersonGH вне форума   Ответить с цитированием
Старый 08.08.2013, 11:09   #137
Приглядываюсь к форуму
 

Регистрация: 07.08.2013
Сообщений: 5
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Panama пока неопределено; 0%Panama пока неопределено, 0%Panama пока неопределено, 0%
Очки: 35, Уровень: 1 Очки: 35, Уровень: 1 Очки: 35, Уровень: 1
Опыт: 70% Опыт: 70% Опыт: 70%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
А файлы ваши , вы предлагаете расшифровывать удаленно по фотографии? Так ведь даже её нет.

Выложите несколько зашифрованных файлов, разных форматов и размеров. В идеале - пары зашифрованный файл и оригинальный.

Ребят выручите пожалуйста... не охота платить гадам.. я приложил файлы выше в посте...
Может получется дешифровать мои файлы?
Panama вне форума   Ответить с цитированием
Старый 08.08.2013, 11:13   #138
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от AndersonGH
У меня .banan@blader.com_IQ41
Вирус как-то странно прошелся по файлам, какие-то зашифровал и к имени файла добавил свою приписку .banan@blader.com_IQ41, а какие-то файлы просто переименовал, убираешь из имени эту приписку и файл нормально открывается..
В зашифрованных файлах похоже первые 50 символов (байт) изменены, возможно что в середене файла тоже, не могу точно сказать.
Длина файла не меняется.
Первый байт ( символ ) в зашифрованных вроде бы у всех один и тот же - 13 (HEX)

Еще на смещении 1024, 2048, 3072 и 4096 байт по 15 байт заменены на 13 (HEX). Если у вас не изменился размер файла, то я даже не предполагаю как эти данные восстановить.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 08.08.2013, 11:28   #139
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Вот информация от drWeb по этому трояну:
Цитата:
Признаки заражения: Файлы зашифрованы, дополнительное расширение *.zero@dbzmail.com_xxx, где xxx - цифры-бувы. Если расширение отличается - вам в другую тему.

Информация по трояну: Отсутствует на данный момент.

Криптография: Точно неизвестно, но вероятно RSA.

Расшифровка: В связи с отсутствием трояна ничего определенного сказать нельзя.

Если там действительно RSA то без тела вируса вряд ли что можно сделать.
Ищите у себя в карантине антивируса или во временных каталогах или еще где сам файл который гадит.
mrFiX вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо mrFiX за это полезное сообщение:
Fireleo (08.08.2013)
Старый 08.08.2013, 13:12   #140
Новенький
 

Регистрация: 07.08.2013
Сообщений: 4
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
AndersonGH пока неопределено; 0%AndersonGH пока неопределено, 0%AndersonGH пока неопределено, 0%
Очки: 18, Уровень: 1 Очки: 18, Уровень: 1 Очки: 18, Уровень: 1
Опыт: 35% Опыт: 35% Опыт: 35%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
Еще на смещении 1024, 2048, 3072 и 4096 байт по 15 байт заменены на 13 (HEX). Если у вас не изменился размер файла, то я даже не предполагаю как эти данные восстановить.

В моем варианте я вижу по 15 байт в смещении 400 800 с00 1000
В конце файла действительно есть добавка в виде символов, возможно это строка код по которой была произведена кодировка...
AndersonGH вне форума   Ответить с цитированием
Старый 08.08.2013, 13:20   #141
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от AndersonGH
В моем варианте я вижу по 15 байт в смещении 400 800 с00 1000
В конце файла действительно есть добавка в виде символов, возможно это строка код по которой была произведена кодировка...

Может у Вас другие циферки в расширении и соответвенно алгоритм разный.
Сам файл-вируса отловить удалось ?
mrFiX вне форума   Ответить с цитированием
Старый 08.08.2013, 13:24   #142
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

у drWeb нашли разновидности и определили уже зловреда.
Цитата:
Encoder.278

*.mambaee@aol.com_xxx, *.zero@dbzmail.com_xxx

А файла te278decrypt пока не появилось в открытом доступе

Последний раз редактировалось mrFiX; 08.08.2013 в 13:44.
mrFiX вне форума   Ответить с цитированием
Старый 08.08.2013, 13:28   #143
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от mrFiX
Может у Вас другие циферки в расширении и соответвенно алгоритм разный.
Сам файл-вируса отловить удалось ?

Да нет, просто я в десятеричной системе писал. Там еще начиная с середины файла (если брать размер зашифрованного файла), есть последовательность, когда зашифрованные байты идут сначала через один, затем через два, три и т.д. до 16.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 08.08.2013, 14:00   #144
Новенький
 

Регистрация: 07.08.2013
Сообщений: 4
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
AndersonGH пока неопределено; 0%AndersonGH пока неопределено, 0%AndersonGH пока неопределено, 0%
Очки: 18, Уровень: 1 Очки: 18, Уровень: 1 Очки: 18, Уровень: 1
Опыт: 35% Опыт: 35% Опыт: 35%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
Да нет, просто я в десятеричной системе писал. Там еще начиная с середины файла (если брать размер зашифрованного файла), есть последовательность, когда зашифрованные байты идут сначала через один, затем через два, три и т.д. до 16.

Мой антивирус в карантин поместил файл 312.exe
Где-то вычитал что это якобы только загрузчик, который сидит пару дней в компе и загружает шифровальщик, а после отработки удаляется вместе с шифровальщиком...
Вообщем обратившись за помощью на сайт http://virusinfo.info по результатам сканирования мне прислали скрипт, который должен был убрать в карантин DLL -ку , но почему-то в папке карантина программы AVZ после отработки скрипта и перезагрузки я не обнаружил эту DLL-ку, возможно что её уже не было в коме, а в реестре что-то болталось от неё... возможно это и был шифровальщик... теперь у меня только 312.exe в наличии, если нужен могу скинуть..
AndersonGH вне форума   Ответить с цитированием
Старый 08.08.2013, 14:11   #145
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Скиньте лучше на DrWeb или в лабораторию Касперского. Я не оцениваю свои силы и ресурсы достаточными, чтобы расшифровать RSA, даже зная открытый ключ.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 08.08.2013, 14:38   #146
Новенький
 

Регистрация: 08.08.2013
Сообщений: 1
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
alla_sk пока неопределено; 0%alla_sk пока неопределено, 0%alla_sk пока неопределено, 0%
Очки: 2, Уровень: 1 Очки: 2, Уровень: 1 Очки: 2, Уровень: 1
Опыт: 3% Опыт: 3% Опыт: 3%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

То же самое, расширение zero@dbzmail.com_IQ80.
Название трояна: Trojan.Win32.Qhost.afre, могу выложить тело вируса (вроде убитого) в архиве, второй архив - пара исходный/зашифрованный файл, пароль к архивам "вирус"
Вложения
Тип файла: zip троян.zip (44.2 Кб, 6 просмотров)
Тип файла: zip Пример.zip (67.7 Кб, 0 просмотров)
alla_sk вне форума   Ответить с цитированием
Старый 08.08.2013, 15:07   #147
Приглядываюсь к форуму
 

Регистрация: 01.08.2013
Сообщений: 7
Вы сказали Спасибо: 0
Поблагодарили 1 раз в 1 сообщении
Нейк пока неопределено; 0%Нейк пока неопределено, 0%Нейк пока неопределено, 0%
Очки: 44, Уровень: 1 Очки: 44, Уровень: 1 Очки: 44, Уровень: 1
Опыт: 88% Опыт: 88% Опыт: 88%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?
Нейк вне форума   Ответить с цитированием
Старый 08.08.2013, 16:13   #148
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Нейк
Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?

Вряд ли, уже есть готовый от DrWeb.
Fireleo вне форума   Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013), starlab (08.08.2013)
Старый 08.08.2013, 18:53   #149
Новенький
 

Регистрация: 08.08.2013
Сообщений: 1
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
starlab пока неопределено; 0%starlab пока неопределено, 0%starlab пока неопределено, 0%
Очки: 2, Уровень: 1 Очки: 2, Уровень: 1 Очки: 2, Уровень: 1
Опыт: 3% Опыт: 3% Опыт: 3%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

огромное спасибо Fireleo за утилиту, все файлы с расширением barbitariat успешно расшифровались. респект и уважуха !!!!!!
starlab вне форума   Ответить с цитированием
Старый 09.08.2013, 09:25   #150
Приглядываюсь к форуму
Курсант
 

Регистрация: 02.08.2013
Сообщений: 12
Вы сказали Спасибо: 2
Поблагодарили 0 раз(а) в 0 сообщениях
shamarin пока неопределено; 0%shamarin пока неопределено, 0%shamarin пока неопределено, 0%
Очки: 38, Уровень: 1 Очки: 38, Уровень: 1 Очки: 38, Уровень: 1
Опыт: 76% Опыт: 76% Опыт: 76%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Друзья! сталкивался ли кто-то с модификацией *.yaps?
Приложил 2 пары: больной и оригинал
http://files.mail.ru/8A0A0029D4FB48979ABEAA92059204E8
shamarin вне форума   Ответить с цитированием
Ответ

Метки
.barbitariat, .vault, decr03@mail.ru, rdp, sos на мыло, te94decrypt.exe, trojan.encoder.94, vault, zubagugu@aol.com, бабосы, взлом, вирус, восстановить, дешифратор, доброго время суток, заблокированы, кокосы, новость, пароль, повреждены, салют буржуа, файловоз, файлы, шифр, шифрователь


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 05:58.

Форум города Пущино: Наш Форум

Форум о жителях города Пущино пущинцах Московской области.

Внимание!Администрация сайта не несет ответственности за сообщения и материалы, оставленные посетителями форума.

Вся информация предоставлена в ознакомительных целях.

Внимание! Все файлы на сервере проверены Антивирусом Касперского.




Все права защищены © 2023 Форум города Пущино

Яндекс цитирования Яндекс.Метрика


Время генерации страницы 0.28041 секунды с 19 запросами