Форум города Пущино: НАШ ФОРУМ
 
Облако тегов:
Навигация форума:
Герб города ПущиноФорум Пущино  

Для полноценной работы с сайтом вам необходимо установить Adobe Flash Player не ниже 10-ой версии.

Вернуться   Форум города Пущино > Hard & Soft > Информационная безопасность
На главную Форумы Регистрация Правила форума Русская баняДневники Поиск Сообщения за день Все разделы прочитаны
Важная информация

Информационная безопасность Антивирусы, Firewall и другие средства защиты от злоумышленников.

Оценка этой теме - Опасный вирус в локалке шифрует файлы.
(14)
Рейтинг темы: голосов - 14, средняя оценка - 4.79.

Ответ
 
Опции темы Опции просмотра
Старый 07.08.2013, 16:07   #121
Новенький
 

Регистрация: 07.08.2013
Сообщений: 3
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
ArcherV пока неопределено; 0%ArcherV пока неопределено, 0%ArcherV пока неопределено, 0%
Очки: 10, Уровень: 1 Очки: 10, Уровень: 1 Очки: 10, Уровень: 1
Опыт: 19% Опыт: 19% Опыт: 19%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Добрый день!

Спасибо Вам за утилиту.

Подхватил модификацию такого же вируса, только файлам присваивает дополнительное расширение .banan@blader.com_xxx, где xxx - цифры-буквы.

Прошу сделать модификацию Вашего декодера для этого варианта.

Примеры зашифрованных файлов прилагаю.
Вложения
Тип файла: rar Примеры.rar (2.31 Мб, 4 просмотров)
ArcherV вне форума   Ответить с цитированием
Старый 07.08.2013, 16:16   #122
Новенький
 

Регистрация: 07.08.2013
Сообщений: 2
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
pertcevnikolay пока неопределено; 0%pertcevnikolay пока неопределено, 0%pertcevnikolay пока неопределено, 0%
Очки: 5, Уровень: 1 Очки: 5, Уровень: 1 Очки: 5, Уровень: 1
Опыт: 9% Опыт: 9% Опыт: 9%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Спасибо большое за проявленный интерес!! Сей час выложу копии файлов.Новая папка.rar zero@dbzmail.com_IQ83
pertcevnikolay вне форума   Ответить с цитированием
Старый 07.08.2013, 16:28   #123
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от ArcherV
Добрый день!

Спасибо Вам за утилиту.

Подхватил модификацию такого же вируса, только файлам присваивает дополнительное расширение .banan@blader.com_xxx, где xxx - цифры-буквы.

Прошу сделать модификацию Вашего декодера для этого варианта.

Примеры зашифрованных файлов прилагаю.

Похоже, что зашифрованных только первые 48 байт, пришлите еще варианты зашифрованных файлов формата doc. И если есть пара зашифрованный/оригинальный файл, то же пришлите, не зависимо от формата файла.
Fireleo вне форума   Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Fireleo за это полезное сообщение:
ArcherV (07.08.2013), GloryCedar (14.11.2013)
Старый 07.08.2013, 16:45   #124
Новенький
 

Регистрация: 07.08.2013
Сообщений: 3
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
ArcherV пока неопределено; 0%ArcherV пока неопределено, 0%ArcherV пока неопределено, 0%
Очки: 10, Уровень: 1 Очки: 10, Уровень: 1 Очки: 10, Уровень: 1
Опыт: 19% Опыт: 19% Опыт: 19%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Спасибо большое за помощь!

Варианты файлов прилагаю.
Вложения
Тип файла: rar Примеры_2.rar (420.3 Кб, 3 просмотров)
ArcherV вне форума   Ответить с цитированием
Старый 07.08.2013, 17:41   #125
Новенький
 

Регистрация: 05.08.2013
Сообщений: 4
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Shakiri пока неопределено; 0%Shakiri пока неопределено, 0%Shakiri пока неопределено, 0%
Очки: 37, Уровень: 1 Очки: 37, Уровень: 1 Очки: 37, Уровень: 1
Опыт: 74% Опыт: 74% Опыт: 74%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Такой же вид вируса как и у ArcherV - banan@blader.com )) Сколтко ищу дешифратора не неашел))
Shakiri вне форума   Ответить с цитированием
Старый 07.08.2013, 20:54   #126
Новенький
 

Регистрация: 07.08.2013
Сообщений: 1
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
CalgarMA пока неопределено; 0%CalgarMA пока неопределено, 0%CalgarMA пока неопределено, 0%
Очки: 2, Уровень: 1 Очки: 2, Уровень: 1 Очки: 2, Уровень: 1
Опыт: 3% Опыт: 3% Опыт: 3%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Здравствуйте! Нужна Ваша помощь! Вид: zero@dbzmail.com_IQ71 (кликабельно) Заранее спасибо!

P.S.: после расшифровки файлов, нужны ли еще какие-либо меря для удаления вируса? Если да, то как от него избавиться полностью??

Последний раз редактировалось CalgarMA; 08.08.2013 в 06:32.
CalgarMA вне форума   Ответить с цитированием
Старый 07.08.2013, 23:12   #127
Приглядываюсь к форуму
 

Регистрация: 07.08.2013
Сообщений: 5
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Panama пока неопределено; 0%Panama пока неопределено, 0%Panama пока неопределено, 0%
Очки: 35, Уровень: 1 Очки: 35, Уровень: 1 Очки: 35, Уровень: 1
Опыт: 70% Опыт: 70% Опыт: 70%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Здрасте! Словил такой же вирус... зашифровал все файлы на компе. расширение zero@dbzmail.com_IQ84
Помогите!!!! Пожалуйста! (((( Много фоток потерял(((
Вложения
Тип файла: rar образцы файлов doc.rar (221.6 Кб, 6 просмотров)
Panama вне форума   Ответить с цитированием
Старый 08.08.2013, 04:37   #128
Новенький
 

Регистрация: 08.08.2013
Сообщений: 3
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
денис викторович пока неопределено; 0%денис викторович пока неопределено, 0%денис викторович пока неопределено, 0%
Очки: 11, Уровень: 1 Очки: 11, Уровень: 1 Очки: 11, Уровень: 1
Опыт: 21% Опыт: 21% Опыт: 21%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию Беда!!!

Привет ! Друзья проблема все та же помогите мне расшифровать файлы zero@dbzmail com_IQ85
денис викторович вне форума   Ответить с цитированием
Старый 08.08.2013, 08:20   #129
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
Похоже, что зашифрованных только первые 48 байт, пришлите еще варианты зашифрованных файлов формата doc. И если есть пара зашифрованный/оригинальный файл, то же пришлите, не зависимо от формата файла.

Проверяй лучше на шифрованных архивах - там хоть проверить по внутриахивной проверке можно. А на doc-файлах не заметишь если опять где-то проблема расшифровки будет.
mrFiX вне форума   Ответить с цитированием
Старый 08.08.2013, 08:42   #130
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

кстати, появилось время я поискал методы как мог бы ко мне вирус попасть.
До этого у меня 2 дня не было интернета из-за проблем у провайдера.
В файрволе закрыл для svchost входящий запрос на RDP порт (точнее не закрыл а поставил в режим запроса действия).
И вот через не продолжительное время работы компьютера при появлении интернета стали выскакивать запросы на разрешение входящего соединения по rdp протоколу.
Ну а так как не жду никого кто бы мог ко мне таким образом подключиться - то я их разумеется не разрешал.
По одному из ip попробовал подключиться так же удаленно - увидел окно логина на китайский win2003 сервер.
Так что скорей всего предположение что заражение происходит через зараженные удаленные сервера с использованием уязвимости в RDP
По одному адресу я
mrFiX вне форума   Ответить с цитированием
Старый 08.08.2013, 10:24   #131
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от mrFiX
Проверяй лучше на шифрованных архивах - там хоть проверить по внутриахивной проверке можно. А на doc-файлах не заметишь если опять где-то проблема расшифровки будет.

Сообразил уже, но проверять пока нечего. Там файлы частично даже не зашифрованы, а затерты значением #13. В конце добавляется 1046 байт из которых 1000 - это, по всей видимости, 5 блоков по 100 байт записанных в виде ASCII-представлении (два байта обозначают один). И еще 46 в виде пяти групп по 8 байт, которые по все видимости содержат ключ как восстановить инфу. Но пока мене из них понятны лишь начало новой группы и указание на смешение с которого начинается очередной закодированный участок.

По этому, я еще не могу сообразить как получить исходные данные.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 08.08.2013, 10:59   #132
Новенький
 

Регистрация: 07.08.2013
Сообщений: 3
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
ArcherV пока неопределено; 0%ArcherV пока неопределено, 0%ArcherV пока неопределено, 0%
Очки: 10, Уровень: 1 Очки: 10, Уровень: 1 Очки: 10, Уровень: 1
Опыт: 19% Опыт: 19% Опыт: 19%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Fireleo, если поможет найти ключ, прикладываю варианты файлов в архивах.
Вложения
Тип файла: rar Пример_3.rar (1.13 Мб, 2 просмотров)
ArcherV вне форума   Ответить с цитированием
Старый 08.08.2013, 11:00   #133
Новенький
 

Регистрация: 08.08.2013
Сообщений: 3
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
денис викторович пока неопределено; 0%денис викторович пока неопределено, 0%денис викторович пока неопределено, 0%
Очки: 11, Уровень: 1 Очки: 11, Уровень: 1 Очки: 11, Уровень: 1
Опыт: 21% Опыт: 21% Опыт: 21%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

zero@dbzmail com_IQ85
У меня видимо совсем безнадежный случай.....
ребята посмотрите пожалуйста мои файлы мож у кого получится????
денис викторович вне форума   Ответить с цитированием
Старый 08.08.2013, 11:00   #134
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Еще одно сообщение по *.barbitariat и можно будет по тому типу закрывать вопрос:
Если пользоваться утилитой te94decrypt.exe от drWeb. то:
Запускать её в нашем случае нужно с параметром комстроки -k 369 , т.е. так:
te94decrypt.exe -k 369

Файл te94decrypt.exe найденный мной поиском в гугле на анализе файла выдавал всего 87 вариантов.
А текущий более свежий выдал на 369 варианте - что нашел верный алгоритм.
Так что если искать файлы в сети - то надо искать наиболее ссвежие

Последний раз редактировалось mrFiX; 08.08.2013 в 11:20.
mrFiX вне форума   Ответить с цитированием
Старый 08.08.2013, 11:01   #135
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от денис викторович
zero@dbzmail com_IQ85
У меня видимо совсем безнадежный случай.....
ребята посмотрите пожалуйста мои файлы мож у кого получится????

А сам файл вируса поймать не получилось ?
mrFiX вне форума   Ответить с цитированием
Ответ

Метки
.barbitariat, .vault, decr03@mail.ru, rdp, sos на мыло, te94decrypt.exe, trojan.encoder.94, vault, zubagugu@aol.com, бабосы, взлом, вирус, восстановить, дешифратор, доброго время суток, заблокированы, кокосы, новость, пароль, повреждены, салют буржуа, файловоз, файлы, шифр, шифрователь


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 00:38.

Форум города Пущино: Наш Форум

Форум о жителях города Пущино пущинцах Московской области.

Внимание!Администрация сайта не несет ответственности за сообщения и материалы, оставленные посетителями форума.

Вся информация предоставлена в ознакомительных целях.

Внимание! Все файлы на сервере проверены Антивирусом Касперского.




Все права защищены © 2023 Форум города Пущино

Яндекс цитирования Яндекс.Метрика


Время генерации страницы 0.26279 секунды с 19 запросами