Перейти к содержимому


Фото
* * * * * 1 Голосов

Зашифрованы файлы, decryptor2013@gmail.com, ironman.tony.stark.co@gmail.com, kraken.octopus.7dd@gmail.com и другие


  • Please log in to reply
222 ответов в этой теме

#181 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Август 2013 - 17:49

Вобщем, как обычно, ларчик просто открывался :)

 

 

 

Кстати и старье продают..чуть дешевле.

 

Блин, не знаю, где Вы это отрываете всё, но интересно узнать цены и прочие подробности :)

нибоже упаси...

и ддосят и следят.

кулаков нихватает отбиваться.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#182 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 26 Август 2013 - 17:57

нибоже упаси...
и ддосят и следят.
кулаков нихватает отбиваться.

 

Фигасе, какие нежные :)



#183 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 26 Август 2013 - 18:52

В потрохах декриптора нашел ссылочку:

 

http://www.movable-type.co.uk/scripts/xxtea.pdf

 

Открываю:

 

Correction to xtea
David J. Wheeler
Roger M. Needham
Computer Laboratory
Cambridge University
England
October 1998
We give below a response to the Newsgroup note on Block TEA
The newsgroup sci.crypt.research published an eective attack on the
Block TEA code by Markku-Juhani Saarinen. We agree the attack is valid
and usage where many undetected ciphertext attacks can be made should be
rejected. The attack is eective against Block TEA, not the original TEA or
XTEA.
We have considered the lack of back propagation that was pointed out
and it seems easy to make the decoding dierence propagation about as fast
as the forward coding mode. A simple and apparently safe way is detailed
below. The shifting values are dierent so that n=2 will not give problems.
The rearrangement makes the plus and XOR operations alternate to slightly
increase non linearity. The simple solution is about 30may be better. It has
the same simple interface as before.
Basically v[m]+= f(v[m-1] is changed to v[m]+=f(v[m-1],v[m+1])
where m increases or decreases modulo n.
However, the re-arrangement may have introduced extra problems and
we would be pleased to hear if any are detected.
Provisional routine.
#define MX (z>>5^y<<2)+(y>>3^z<<4)^(sum^y)+(k[p&3^e]^z) ;
long btea( long * v, long n , long * k ) {
unsigned long z=v[n-1], y=v[0], sum=0,e,
DELTA=0x9e3779b9 ;
long m, p, q ;
if ( n>1) {
/* Coding Part */
q = 6+52/n ;
while ( q-- > 0 ) {
sum += DELTA ;
e = sum >> 2&3 ;
for ( p = 0 ; p < n-1 ; p++ )
y = v[p+1],
z = v[p] += MX
y = v[0] ;
z = v[n-1] += MX
}
return 0 ; }
/* Decoding Part */
else if ( n <-1 ) {
n = -n ;
q = 6+52/n ;
sum = q*DELTA ;
while (sum != 0) {
e = sum>>2 & 3 ;
for (p = n-1 ; p > 0 ; p-- )
z = v[p-1],
y = v[p] -= MX
z = v[n-1] ;
y = v[0] -= MX
sum -= DELTA ; }
return 0 ; }
return 1 ; } /* Signal n=0,1,-1 */

David Wheeler and Roger Needham email djw3@cl.cam.ac.uk rmn@cl.cam.ac.uk

 

Декриптор проверил на виртуалке - работает как часы. Теперь нужно разобраться с ключами. Данный декриптор работает только с расширением kraken.



#184 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 26 Август 2013 - 19:10

Глупостями вы занимаетесь... Скачайте сорцы TPLB и вы там таких ссылок найдете не одну и даже не две.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#185 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 26 Август 2013 - 21:01

Ну не такими уже и глупостями - декриптор заработал :)

Да и всё равно ожидание завершение процесса декодировки заставляет чем-то заниматься :)

 

Другой вопрос: почему они там? Сложно удалить? Или образование не позволяет?

 

Добрался до непосредственно шифровальщика. Нда...

40 ключей по 16 байт я не нашел, но нашел нечто иное:

 

"abcdefghbcdefghicdefghijdefghijkefghijklfghijklmghijklmnhijklmnoijklmnopjklmnopqklmnopqrlmnopqrsmnopqrstnopqrstu"

"09330C33 F71147E8 3D192FC7 82CD1B47 53111B17 3B3B05D2 2FA08086 E3B0F712 FCC7C71A 557E2DB9 66C3E9FA 91746039"

"23FEC5BB 94D60B23 30819264 0B0C4533 35D66473 4FE40E72 68674AF9"

"84983E44 1C3BD26E BAAE4AA1 F95129E5 E54670F1"

"BA7816BF 8F01CFEA 414140DE 5DAE2223 B00361A3 96177A9C B410FF61 F20015AD"

"23097D22 3405D822 8642A477 BDA255B3 2AADBCE4 BDA0B3F7 E36C9DA7"

"DDAF35A1 93617ABA CC417349 AE204131 12E6FA4E 89A97EA2 0A9EEEE6 4B55D39A 2192992A 274FC1A8 36BA3C23 A3FEEBBD 454D4423 643CE80E 2A9AC94F A54CA49F"

 

Ну и ещё много прочей нечести - всё перечислять нет смысла.

 

XXTEA слинкована и функции выполняются.

Может быть у Вас ещё не было такой версии?

VIGO ведь не смог расшифровать файлы Вашим дешифратором.

 

Мне сложно поверить в то, что для каждого ID делают свой декриптор - это маловероятно. Судя по коду занимается вымогательством школята. Да даже если это не так, то разобраться в коде вполне возможно. 

Другой момент, что обычным пользователям или админам это нафиг не нужно. Но их можно понять.

А вот почему из антивирусных компаний кроме Вашей никто не занимается дешифровкой - это загадка века. Видимо, на работу таджиков наняли, а те так себе кодеры...



#186 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 26 Август 2013 - 21:07

поток сознания...

Я последнюю фразу понял :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#187 pig

pig

    Бредогенератор

  • Helpers
  • 10 676 Сообщений:

Отправлено 26 Август 2013 - 22:32

Помнится, я тоже мнил себя крутым, когда осваивал Turbo C++ и в отладчике сумел найти процедуру перезаписи экранной памяти.
Почтовый сервер Eserv тоже работает с Dr.Web

#188 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Август 2013 - 09:26

Помнится, я тоже мнил себя крутым, когда осваивал Turbo C++ и в отладчике сумел найти процедуру перезаписи экранной памяти.

Во-во. Отлаживать библиотечный код - веселое занятие :-D


Личный сайт по Энкодерам - http://vmartyanov.ru/


#189 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 27 Август 2013 - 09:47

Помнится, я тоже мнил себя крутым

 

Я не совсем освоился в местном юморе, но попытаюсь парировать:

сейчас Вы поняли, что кроме как на флуд на форумах более ни на что не способны. Ощущать себя бесполезным - это очень плохо. Искренне Вам сочувствую.

 

Во-во. Отлаживать библиотечный код - веселое занятие :-D

Занятие веселое, спору нет. Но - практичное: вопрос с декодировкой снят :)

Декриптор дрвеба (новая версия) до сих пор подбирает ключик (35700 из 65536).

Грохать процесс подбора не собираюсь, т.к. интересно посмотреть на расшифровку вебовской утилитой.

Судя по тому, с какой скоростью подбирают пароли остальные пользователи, делаю вывод о том, что наши рабочие ПК по ходу давно подлежат апгрейду.

 

Господин Мартьянов, Вы были правы - для сборки использовался пакет TurboPower LockBox3 (сохранились пути подключения pas файлов), но что это за пакет и почему в нём код из RSA Encryption Engine лично я ответить не могу. Кто что у кого заимствовал - не в курсе.

 

Лично я считаю, что очень мило со стороны вымогателей было использовать делфи. Это очень помогает :)

 

Вчера наткнулся на статью от авастов, касательно данного вида вирусни. Хорошо рассказали о заражении, но по лечению ни слова.

 

Лирический вопрос: кто-то будет писать мануал о том, как избавиться от последствий данного типа вируса?

Или это запретная тема ? :)



#190 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Август 2013 - 09:56

Лирический вопрос: кто-то будет писать мануал о том, как избавиться от последствий данного типа вируса?

 

наверное ответ-не заражаться.

9 бета. done


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#191 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 27 Август 2013 - 10:14

наверное ответ-не заражаться.

 

Ну это звучит как-то не очень утишительно для тех, кто уже заразился.

 

9 бета. done

 

Не в курсе всех абривиатур этого форума - поясните пожалуйста.

 

Если речь об антивирусе, то однозначно панацеи нет и не будет. Когда по-настоящему был програмистом, разбирался с кодом смбдай и прочими "прелестями" - антивири их сразу не видели. И сейчас, можно уверенно сказать, что будет появлятся код, который будт пропускать антивирусы, и этот код будет причинять вред. Иначе быть не может.

Или майкрасофт создал бы тогда универсальный антивирь и касперы, ноды и прочие вынуждены были бы перепрофилироваться.



#192 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Август 2013 - 10:17

9 бета подхватывает энкодеры на старте...не сигнатурно.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#193 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 27 Август 2013 - 10:19

9 бета подхватывает энкодеры на старте...не сигнатурно.

 

А как быть с ПО, которое работает с файлами? В исключения что ли?



#194 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Август 2013 - 10:21

 

9 бета подхватывает энкодеры на старте...не сигнатурно.

 

А как быть с ПО, которое работает с файлами? В исключения что ли?

 

 

дык попробуйте :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#195 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 27 Август 2013 - 10:26

дык попробуйте

 

Вы знаете, всё больше мне нравятся решения на юниксах. После этого случая, я думаю, на убунте терминалы поднять. Все кто уже это делали как один говорят о геморности решения, но потом просто забывают о проблемах с софтом.

 

С другой стороны, это конечно применимо только для предприятий - это и лицензий меньше, и более стабильно. Для пользователя винда всё равно ближе и удобнее.



#196 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 27 Август 2013 - 10:29

Заметьте кол-во постов в ветке никсов...Их ничтожно мало.

Мы не выбираем легких путей :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#197 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 27 Август 2013 - 10:38

Заметьте кол-во постов в ветке никсов...Их ничтожно мало.

Я даже о такой ветке и не знал. Да, обращений меньше. Но наверное это не только из-за стабильности систем - наверное ещё сказывается и малая распространённость.

 

Мы не выбираем легких путей

:D  :D  :D

Это точно!

 

Ладно, прекращаем флудить - модератор крайне терпелив и вежлив, но его терпение тоже имеет границы.



#198 dav16

dav16

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 11 Сентябрь 2013 - 06:21

Что то тема остановилась, ну что разработали дешифратор, или так помогает частично кто в курсе? 


Сообщение было изменено dav16: 11 Сентябрь 2013 - 06:21


#199 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 11 Сентябрь 2013 - 06:29

Что то тема остановилась, ну что разработали дешифратор, или так помогает частично кто в курсе? 

Суппорт вкурсе.

Теперь все делается через него,а не через форум.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#200 dav16

dav16

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 11 Сентябрь 2013 - 07:51

Ничего там нет, просмотрел 40 страниц там про другой троян 




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых