Перейти к содержимому


Фото
* * * * * 1 Голосов

Зашифрованы файлы, decryptyoufiles@yahoo.com_enc


  • Please log in to reply
129 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 26 Июль 2013 - 13:07

Признаки заражения: Файлы зашифрованы, дополнительное расширение .decryptyoufiles@yahoo.com_enc, контактный email - decryptyoufiles@yahoo.com. Если у вас другой email или расширение - вам в другую тему.

 

Информация по трояну: Trojan.Encoder.225. Распространение этой модификации началось 25-26.07.2013. Распространяется, вероятно, через письма с doc-файлом, содержащим эксплоит к CVE2012-0158. В итоге через 1-2 промежуточных звена на машину попадает сам энкодер.

 

Расшифровка: Расшифровка производится в автоматическом режиме. Осуществляться будет в три этапа: подготовка - сбор необходимых данных. Около 20 минут. Затем атака на DES и в конце - на RC4. Сколько оно будет брутить я не знаю. Сложно оценить.

 

Криптография: RC4 (модифицированный) + DES.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Сообщение было изменено v.martyanov: 16 Август 2013 - 12:27

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 lk29

lk29

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 26 Июль 2013 - 19:07

вот вот 

судя по всему именно такой :-)

все выслал :-) 

но от декриптера не откажусь интереса ради 

хотя машинка тестовая и проще переставить ея .. 

но я так понимаю в ближайшее время будет всплеск таких :) поделок



#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 26 Июль 2013 - 19:14

Ну, первый слой шифрования уже успешно проходим. Осталось побороть второй слой...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 lk29

lk29

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 26 Июль 2013 - 19:23

забавно всеж развиваются компьютеры 

все меньше и меньше стоит железо и все дороже информация :-D


Сообщение было изменено lk29: 26 Июль 2013 - 19:25


#5 pig

pig

    Бредогенератор

  • Helpers
  • 10 668 Сообщений:

Отправлено 28 Июль 2013 - 19:42

То, что информация на порядки дороже железа, умные люди понимали ещё полвека назад. И даже раньше. См. "Энигма".

Сообщение было изменено pig: 28 Июль 2013 - 19:42

Почтовый сервер Eserv тоже работает с Dr.Web

#6 viv

viv

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Июль 2013 - 12:20

отправил и свой 

.decryptyoufiles@yahoo.com_enc

и зашифрованный файл, хотелось бы узнать как идет дело с созданием дешифратора :rolleyes: 



#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Июль 2013 - 14:29

Ну, вроде нашел более быстрый чем пару лет способ подбора... Опять буду тестировать :-(


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Июль 2013 - 17:40

Утилита будет выпущена завтра. Запасайтесь мощными компами (4 ядра минимум!), на которых и будет производится и подбор паролей и расшифровка. Про время - в первом посте.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 30 Июль 2013 - 17:52

А если ядер будет больше 4-х - это сократит время?


Сообщение было изменено HHH: 30 Июль 2013 - 17:53


#10 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 30 Июль 2013 - 18:53

Количество потоков больше, значит и время меньше займёт - сейчас мощь определяется так.


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#11 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 30 Июль 2013 - 18:55

Количество потоков больше, значит и время меньше займёт - сейчас мощь определяется так.

 

Врядли...распаралелить это таки тоже задача.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#12 viv

viv

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 31 Июль 2013 - 08:30

Ну, вроде нашел более быстрый чем пару лет способ подбора... Опять буду тестировать :-(

 

надо файлов закодированных для тестов? накидаю если что



#13 Mixan4ick

Mixan4ick

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 31 Июль 2013 - 10:01

Если не хватит файлов от viv, могу своих накидать



#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2013 - 12:25

А если ядер будет больше 4-х - это сократит время?

Нет. Сделано фиксировано под 4 ядра. Параллелить - тоже задача, как уже сказали :-(



Лучшие тесты - на пользовательских машинах ;-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#15 viv

viv

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 01 Август 2013 - 10:24

а можно в качестве теста поюзать декодер :rolleyes:  чесна сознаюсь лицензии нет, а вирусяку вам присылал и файлы зашифрованные



#16 Mixan4ick

Mixan4ick

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2013 - 11:28

Присоединяюсь к VIV . Есть машинки для теста



#17 lk29

lk29

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 01 Август 2013 - 11:33

и мне :-D



#18 VVS

VVS

    The Master

  • Moderators
  • 17 437 Сообщений:

Отправлено 01 Август 2013 - 13:29

Barrymore, Ваше сообщение удалено, как не имеющее отношения к теме.

Модератор.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#19 Barrymore

Barrymore

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 01 Август 2013 - 13:38

Экий же Вы, батенька, строгий! :blush: А Encoder.225 -то тот же самый. Извиняйте, а куда ж мне теперь подацца? :(

Может, расскажете, любопытному - а можно ли как-то посмотреть промежуточные результаты работы Вашего дешифратора, чтобы по аналогии использовать в моём случае?   



#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2013 - 13:41

Экий же Вы, батенька, строгий! :blush: А Encoder.225 -то тот же самый. Извиняйте, а куда ж мне теперь подацца? :(

Может, расскажете, любопытному - а можно ли как-то посмотреть промежуточные результаты работы Вашего дешифратора, чтобы по аналогии использовать в моём случае?   

http://forum.drweb.com/index.php?showtopic=314687 - тут вашего ищите. Персонально для вас могу выпустить "Mazohist Edition" - будет запрашивать согласине на подбор каждого из более чем миллиарда паролей :-D Все результаты - в окне программы. Прогрессбар и статусбар в частности.


Личный сайт по Энкодерам - http://vmartyanov.ru/



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых