84 ответов в этой теме

[krashow]

Переименованный самораспаковывающийся rarsfx-архив

Да нет, именно так, как я описал. Камера видеонаблюдения захватывает монитор пользователя, и на нём отчётливо виден зип/рар архив и cmd внутри

 

Скорее  moar

Может и moar, была задача как можно быстрее от этой пакости избавиться, а не разглядывать имена

Сообщение было изменено krashow: 01 Август 2014 - 19:56

[thyrex]

Внутри zip-архива идет самораспаковывающий переименованный rar-архив 

[Bullterrier]

Самое смешное в том, что они присылают  потом программу которая нифига не работает. И еще пишут в конце письма:" Извините за такой способ заработка." )))))

[dmitry1_allok]

Нам тоже прислали расшифровщик, который ничего не расшифровал. Мы им отписали, они опять извинились и прислали расшифровщик, который все расшифровал. Если кому надо - могу прислать их программу, которая расшифровывает файлы.

[Bullterrier]

dmitry1_allok, Пока ждем когда закончится вторая попытка проверки. если опять без результатов, то буду благодарен за программу.

[dmitry1_allok]

Ок, пишите в личку ваш email

Они написали нам, что рассшифровщик был с ошибкой и обнаружили они ее благодаря нам. 

[thyrex]

1. Пароль архивирования генерируется на основе 16 координат курсора мыши. Они у вас двоих вряд ли совпадали 2. Пароль вставивается в дешифрующую утилиту

[Bullterrier]

thyrex,  Пытаться бесполезно?

[Bullterrier]

dmitry1_allok, не отправляются ЛС

[at.]

Самое смешное в том, что они присылают  потом программу которая нифига не работает. И еще пишут в конце письма:" Извините за такой способ заработка." )))))

 

"Вежливость - лучшее оружие вора" (с)

[thyrex]

Использовать чужой дешифратор - бесполезно. Подбирать пароль в 64 символа бесполезно. Поскольку Вы оплатили этим "бизнесменам" покупку дешифратора, требуйте у них работоспособной версии.

[at.]

Подбирать пароль в 64 символа бесполезно.

 

А как шифратор берет эти 16 позиций - сразу и мгновенно или через timeout? Просто ведь мышь  а) может не двигаться б) перемещается по достаточно предполагаемым векторам. Если знать алгоритм взятия этих 16 точек, текущее разрешение видеокарты, то можно попытаться сделать перебор не вслепую, а с учетом знаний о движении курсора.  На 100-150 xeon ядер мог бы быть шанс  и подобрать? Ну чисто теоретически.

[thyrex]

С интервалом в 2014 мс. Я думаю, если бы Владимир хотел реализовать идею с перебором, он бы об этом написал

[dmitry1_allok]

У нас на работе сразу три пользователя запустили троян. В итоге все (в том числе и сетевой диск) зашифровались. У одного пользователя стоит Windows 8 с возможностью записи в директорию только с правами администратора. Все файлы у него удалились безвовратно, так как при архировании файлы не сохранялись в виде rar архивов, но почему-то все удалились. Все остальное расшифровалось. Они даже прислали программу, которая впоследствии удалила все ненужные rar. Наши программисты посмотрели, сказали, что троян убивает все файлы под операционной системой Windows 8, в остальных случаях зашифровывает, но чтобы расшифровать нужен пароль. Вроде эти ребятки оказались (для нас) еще порядочными. Практически все восстановили за исключением одного пользователя. Но практически все его файлы у нас в резерве, потерял два дня работы он.

[SergM]

dmitry1_allok, Реклама вымогателям?

[thyrex]

Никакой проверки на операционку в теле нет. Вирус сначала архивирует имеющиеся файлы в архив с новым именем, а потом удаляет оригиналы, предварительно забивая нулями и усекая до нулевой длины. В этом отличие от предыдущих версий, где сразу при архивации оригиналы удалялись. Возможно, вирусу на Win8 не хватило прав на создание архивов, потому сработало только удаление

[v.martyanov]

 

Подбирать пароль в 64 символа бесполезно.

 

А как шифратор берет эти 16 позиций - сразу и мгновенно или через timeout? Просто ведь мышь  а) может не двигаться б) перемещается по достаточно предполагаемым векторам. Если знать алгоритм взятия этих 16 точек, текущее разрешение видеокарты, то можно попытаться сделать перебор не вслепую, а с учетом знаний о движении курсора.  На 100-150 xeon ядер мог бы быть шанс  и подобрать? Ну чисто теоретически.

 

Пауза немалая, так что шансы только на неподвижный.

[at.]

 

 

Подбирать пароль в 64 символа бесполезно.

 

А как шифратор берет эти 16 позиций - сразу и мгновенно или через timeout? Просто ведь мышь  а) может не двигаться б) перемещается по достаточно предполагаемым векторам. Если знать алгоритм взятия этих 16 точек, текущее разрешение видеокарты, то можно попытаться сделать перебор не вслепую, а с учетом знаний о движении курсора.  На 100-150 xeon ядер мог бы быть шанс  и подобрать? Ну чисто теоретически.

 

Пауза немалая, так что шансы только на неподвижный.

 

 

На неподвижном получается < 1.5млн комбинаций для 1280x1024. В принципе должно перебираться довольно быстро даже на обычном компе? Но это, конечно, только счастливчикам поможет.  Хотя, дальше можно комбинировать ситуации, когда N из M точек одинаковых...

[v.martyanov]

Да, с неподвижным - не долго, несколько дней.

[at.]

Так  16 x 2014мс -- это ж меньше минуты! Вероятность, что мыша была неподвижна вполне себе реалистичная. Хотя бы попробовать можно было бы.