1248 ответов в этой теме

[santy]

victim,

выложите на обменник в архиве по несколько зашифрованных файлов разного типа: xls, xlsx, doc, docx, jpg, pdf, txt + другие, если они есть в числе зашифрованных для проверки возможности расшифровки.

Сообщение было изменено santy: 27 Июнь 2015 - 15:00

[Alex_1774]

Прикреплен .exe файл самой троянской программы

 

По ссылке малварь, уберите пожалуйста.

[Dmitry_rus]

1. публикация троянов на форуме запрещена.

2. сопоставление зашифрованного и дешифрованного файла никак не поможет расшифровке.

3. без лицензии никто ничего смотреть не будет.

4. расшифровывают и смотрят не на форуме, а в техподдержке (при наличии лицензии).

Сообщение было изменено Dmitry_rus: 28 Июнь 2015 - 13:31

[victim]

1. публикация троянов на форуме запрещена.

2. сопоставление зашифрованного и дешифрованного файла никак не поможет расшифровке.

3. без лицензии никто ничего смотреть не будет.

4. расшифровывают и смотрят не на форуме, а в техподдержке (при наличии лицензии).

 

Лицензия есть, а в техподдержку писал раза 4.

Пока нет ответа.

[santy]

victim,

так шифратор убивает и систему, потому что шифрует все подряд, до куда ручки дотянутся?

[victim]

victim,

так шифратор убивает и систему, потому что шифрует все подряд, до куда ручки дотянутся?

 

 

Нет, он не трогает файлы в windows, program files.

Пробовал запускать на виртуальной машине, и троянская программа зашифровала только файлы с полезным пэйлоадом, а типа .dll осавляет не тронутым.

[Dmitry_rus]

Кстати, хипс его не ловит... Отключил спайдер и получил зашифрованные тексты и графику

[maxic]

Dmitry_rus, можно его RomaNNN отправить - "в поликлинику, для опытов".

[santy]

шифранула и шрифты (на виртуалке), поскольку система на начальной загрузке стала выдавать ошибки, ну и в каталоге утилитки зашифровала все подряд, за исключением активного модуля.

 

Полное имя                  C:\DOCUMENTS AND SETTINGS\user\LOCAL SETTINGS\APPLICATION DATA\COMODO\CIHISGYZ.EXE
Имя файла                   CIHISGYZ.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                            
Статус                      ВИРУС
Сигнатура                   Trojan.Encoder.1214 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                            
www.virustotal.com          2015-06-26
Symantec                    Trojan.Gen.2
ESET-NOD32                  a variant of Win32/Filecoder.NEL
Avast                       Win32:KadrBot [Trj]
Kaspersky                   Trojan-Ransom.Win32.Crypren.vlz
BitDefender                 Trojan.GenericKD.2511592
DrWeb                       Trojan.Encoder.1214
Microsoft                   Trojan:Win32/Dynamer!ac
                            
Удовлетворяет критериям     
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto]
ENCODER.1214                (ССЫЛКА ~ TBCGLIYB.LNK)(1) [auto]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВИРУС в автозапуске [Запускался неявно или вручную]
File_Id                     5587F899C000
Linker                      8.0
Размер                      12800 байт
Создан                      28.06.2015 в 19:21:53
Изменен                     23.06.2015 в 23:12:59
                            
TimeStamp                   22.06.2015 в 11:59:21
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Статус                      ВИРУС
Сигнатура                   kav_vir [глубина совпадения 64(64), необх. минимум 14, максимум 64]
                            
Доп. информация             на момент обновления списка
pid = 3020                  VM-XP\user
CmdLine                     "\\?\C:\Documents and Settings\user\Local Settings\Application Data\Comodo\cihIsGyz.exe"
Процесс создан              19:21:53 [2015.06.28]
С момента создания          00:02:19
parentid = 2888             
pid = 3372                  VM-XP\user
CmdLine                     "\\?\C:\Documents and Settings\user\Local Settings\Application Data\Comodo\cihIsGyz.exe"
Процесс создан              19:21:53 [2015.06.28]
С момента создания          00:02:19
parentid = 3020             C:\DOCUMENTS AND SETTINGS\user\LOCAL SETTINGS\APPLICATION DATA\COMODO\CIHISGYZ.EXE
SHA1                        007F6D3DDAB9183F4495EEDD9DAC44D0FDB4775E
MD5                         FF273922E3DF95CE6D0829EEE02B3703
                            
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TBCGLIYB.LNK
                            
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\TbcgLiYb
TbcgLiYb                    "C:\Documents and Settings\user\Local Settings\Application Data\Comodo\cihIsGyz.exe"
SHORTCUT                    C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TBCGLIYB.LNK
                            
Образы                      EXE и DLL
CIHISGYZ.EXE                C:\DOCUMENTS AND SETTINGS\user\LOCAL SETTINGS\APPLICATION DATA\COMODO
CIHISGYZ.EXE                C:\DOCUMENTS AND SETTINGS\user\LOCAL SETTINGS\APPLICATION DATA\COMODO
                            
Загруженные DLL             УСЛОВНО ИЗВЕСТНЫЕ
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83
                            
                          
Прочие файлы                отображенные в память
UNICODE.NLS                 C:\WINDOWS\SYSTEM32
LOCALE.NLS                  C:\WINDOWS\SYSTEM32
SORTKEY.NLS                 C:\WINDOWS\SYSTEM32
SORTTBLS.NLS                C:\WINDOWS\SYSTEM32
CTYPE.NLS                   C:\WINDOWS\SYSTEM32
CISPREMIUM_INSTALLER_X86.EXEE:\DISTR\SECURITY\COMODO FIREWALL\5.8.16726.2131

 

[Dmitry_rus]

Сигнатурно он ловится, так что для опытов вряд ли интересен. А вот превентивка поляну не сечёт, увы... Я уже его поковырял немного. Тупо упакован UPX-ом, длина всех файлов увеличивается на 1250 байт, юзается RSA.

Сообщение было изменено Dmitry_rus: 28 Июнь 2015 - 18:21

[santy]

а каким образом в систему попадает? через электронку или через браузер? или только вручную запускают после получения доступа к рабочему столу?

Был взломан сервер, который был доступен с интернета по порту RDP(3389).

 

Сообщение было изменено santy: 28 Июнь 2015 - 18:38

[victim]

Самое страшное уже позади, остается вопрос можно ли восстановить данные?

[victim]

 

а каким образом в систему попадает? через электронку или через браузер? или только вручную запускают после получения доступа к рабочему столу?

Был взломан сервер, который был доступен с интернета по порту RDP(3389).

 

 

 

Злоумышленник подобрал пароль к серверу, учетная запись использовалась Administrator, что облегчила к подбору пароля.

 

После получения доступа, просто запустили троян на моем сервере.

[RomaNNN]

Dmitry_rus, можно его RomaNNN отправить - "в поликлинику, для опытов".

Ужо скачал

Сигнатурно он ловится, так что для опытов вряд ли интересен.

С чего такие заявления? Это неправда. Превентивка не зависит от работы Guard-а.

[Dmitry_rus]

Превентивка не зависит от работы Guard-а.

Я как бы в курсе... ) И сигнатурный детект мне не столь интересен. А что, не ловится сигнатурно? С утра ловился... )

[v.martyanov]

Нет там никакого RSA в шифровании файлов, там RC4. Расшифровка сегодня была сделана. Номера тикетов мне в личку киньте - посмотрю чего там саппорт не отвечает.

[jasme]

Всем добрый день. Случилась схожая ситуация как и у VICTIM, только почтовый адрес другой в расширении (CRYPTSb@GMAIL.COM). В данный момент лицензии Веба, нет. Но если есть шанс восстановить файло то купим. Есть также не удаленный файл который сотворил всю эту пакость (во всяком случае, огромные подозрения именно на него). Есть какие нибудь шансы?

[VVS]

Всем добрый день. Случилась схожая ситуация как и у VICTIM, только почтовый адрес другой в расширении (CRYPTSb@GMAIL.COM). В данный момент лицензии Веба, нет. Но если есть шанс восстановить файло то купим. Есть также не удаленный файл который сотворил всю эту пакость (во всяком случае, огромные подозрения именно на него). Есть какие нибудь шансы?

Файл проверить здесь - http://vms.drweb.ru/online/?lng=ru

Если не детектится, то отправить сюда - https://vms.drweb.ru/sendvirus/?lng=ru

На вопрос можно ли расшифровать файлы, Вам могут ответить только в ТП (при наличии лицензии).

Сообщение было изменено VVS: 30 Июнь 2015 - 13:17

[v.martyanov]

Будете отправлять трояна - номер тикета вида #5678901 опубликуйте, дабы он мимо меня не пролетел. Насколько ваш случай похож на упоминавшийся ранее станет ясно только после анализа трояна.

[jasme]

Ок. Лицензию купим..

Результат проверки.

http://online1.drweb.com/cache/?i=455a7dcc4e69c5e434244816825d5915