eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: SDK (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› Модуль шифровальщика CRYPTED000007 для анализа
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Статус: Участник

Создано: 20 сентября 2018 09:29 New!
Цитата · Личное сообщение · #1

Доброго времени суток.
Ищу модуль шифровальщика CRYPTED000007 для последующего анализа.
Модуль шифрует содержимое файла и имя, так же к имени файла добавляет .[идентификатор].CRYPTED000007. К сожалению владелец зашифрованных файлов снёс ОС вместе с вирусом. Может у кого-нибудь есть или кто-то уже анализировал этот вирус. Всё что удалось найти в просторах интернета, это что модуль использует алгоритм шифрования RSA-3072. Но это не точная информация.
Заранее спасибо за ответ.


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 20 сентября 2018 10:35 · Поправил: BlackCode New!
Цитата · Личное сообщение · #2

alex-login пишет:
К сожалению владелец зашифрованных файлов снёс ОС вместе с вирусом.

Можно только посочувствовать.
Как правило, шифровальщики используют быстрые симметричные алгоритмы для скорости шифрования.
Ну а если там все же RSA битностью выше 768 бит, шансы расшифровать (получить ключ для расшифровки) стремиться к нулю.
P.S. Забрел на страничку -->Dr.Web<--
забавно и наводит на нехорошие мысли о Dr.Web-е, раз они, помимо продажи лицензий на свой шлак, еще
и занимаются расшифровкой файлов, после шифровальщиков, за деньги
Невольно возникает вопрос об авторстве...


Ранг: 124.9 (ветеран)
Статус: Участник

Создано: 20 сентября 2018 11:39 New!
Цитата · Личное сообщение · #3

BlackCode пишет:
еще
и занимаются расшифровкой файлов, после шифровальщиков, за деньги

вот подлецы

| Сообщение посчитали полезным: Medsft, Belg


Ранг: 1.0 (гость)
Статус: Участник

Создано: 20 сентября 2018 12:02 New!
Цитата · Личное сообщение · #4

BlackCode пишет:
Невольно возникает вопрос об авторстве

Я думаю, что если они и не расшифровывают, то скорее всего являются посредниками между клиентом и вымогателями. Т.к. для расшифровки они просят не только файлы, но и текст, где указан e-mail вымогателя.

BlackCode пишет:
шансы расшифровать стремятся к нулю

Если честно, я тоже так думаю. Но имея оригинал и зашифрованный файлы, есть такое ощущение, что ключ дописан в конец шифрованного файла. Скорее всего это не так, но интересно было бы покопаться в модуле самого вируса.


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 20 сентября 2018 13:40 · Поправил: BlackCode New!
Цитата · Личное сообщение · #5

SDK пишет:
вот подлецы

Этому есть другое определение, нецензурное
Если б господа из Dr.Web, для расшифровки файлов использовали свои ресурсы в виде зарплаты для спецов, электроэнергии для брута, факторизации.. и т.п. Это было бы понятно.
Но в данном случае, они ничем не лучше вымогателей.
alex-login пишет:
скорее всего являются посредниками между клиентом и вымогателями

Я так и подумал, и имеют свою моржу за это, чем приближают себя к этим же вымогателям


Ранг: 227.3 (наставник)
Статус: Участник

Создано: 20 сентября 2018 13:53 · Поправил: f13nd New!
Цитата · Личное сообщение · #6

alex-login пишет:
Я думаю, что если они и не расшифровывают, то скорее всего являются посредниками между клиентом и вымогателями. Т.к. для расшифровки они просят не только файлы, но и текст, где указан e-mail вымогателя.

Возможно просто конкретную ревизию вируса по readme.txt определяют.

--> Link <--В конце статьи есть мд5 файлов, правда он не очень-то помогает в поиске. На форуме касперского один порывался выложить сам вирус, ему пальчиком погрозили. Возможно с ним можно связаться попробовать. --> Link <--

alex-login пишет:
алгоритм шифрования RSA-3072

Какое фиаско, если конторы, расшифровывающие файло за деньги, их действительно расшифровывают. Когда на фотографии видны уши фотографа.

Ранг: 0.2 (гость)
Статус: Участник

Создано: 11 ноября 2018 06:32 New!
Цитата · Личное сообщение · #7

Привет. У меня остался вирус

Ранг: 0.1 (гость)
Статус: Участник

Создано: 11 ноября 2018 09:37 New!
Цитата · Личное сообщение · #8

san233Так выложи

Ранг: 3.2 (гость)
Статус: Участник

Создано: 11 ноября 2018 13:57 New!
Цитата · Личное сообщение · #9

Ранг: 6.0 (гость)
Статус: Участник

Создано: 11 ноября 2018 14:01 New!
Цитата · Личное сообщение · #10

У меня сейчас комп стоит на ремонте. Успели вырубить не все зашифровал. Тело найду выложу

Ранг: 33.9 (посетитель)
Статус: Участник

Создано: 11 ноября 2018 16:11 New!
Цитата · Личное сообщение · #11

BlackCode пишет:
Если б господа из Dr.Web, для расшифровки файлов использовали свои ресурсы в виде зарплаты для спецов, электроэнергии для брута, факторизации.. и т.п. Это было бы понятно.


звучит так, как-будто использовали ваши ресурсы и не заплатили


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 11 ноября 2018 23:05 New!
Цитата · Личное сообщение · #12

BlackCode

> занимаются расшифровкой файлов, после шифровальщиков, за деньги

Это же авер, понятно что им проще создать угрозу самим, чем устранить внешнюю. На разбор сложной атаки нужно привлекать кучу человеко-часов и не факт что получится. Но зачем это, если в результате нужен только статус. Проще свой вредонос запилить и с абсолютной точностью его вычистить спустя время, экономится время, профит тот же.

| Сообщение посчитали полезным: BlackCode



Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 11 ноября 2018 23:16 New!
Цитата · Личное сообщение · #13

difexacaw пишет:
Это же авер, понятно что им проще создать угрозу самим, чем устранить внешнюю. На разбор сложной атаки нужно привлекать кучу человеко-часов и не факт что получится. Но зачем это, если в результате нужен только статус. Проще свой вредонос запилить и с абсолютной точностью его вычистить спустя время, экономится время, профит тот же.

Абсолютно в точку!


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 11 ноября 2018 23:36 · Поправил: difexacaw New!
Цитата · Личное сообщение · #14

BlackCode

Учитывая что дрвеб всегда был говяным авером, не способным апдейтить свою вм годами, то там напряг с аналитиками. Это значит что они не могут дать задание на разбор какого то семпла толпе народа, им ведь нужно платить, а отдел маркетинга и смежные выполняют планирование - им нужен конкретный ответ по решению и срокам. Если такого ответа нет, а его предоставить невозможно обычно, то проще посадить индуса, который по старым суркам соберёт новый вредонос, а отдел ceo прокрутит всё это дело. Даже если атаки полностью исчезнут, работа авера и доход не прекратится - эта система сама себя кормит.


Ранг: 592.1 (!)
Статус: Модератор
Research & Development

Создано: 12 ноября 2018 08:17 New!
Цитата · Личное сообщение · #15

Посмотрел условия --> по ссылке <--:

Услуга расшифровки бесплатна
для владельцев действующих коммерческих лицензий
Dr.Web Security Space, Dr.Web Enterprise Security Suite (Комплексная защита) и подписчиков услуги «Антивирус Dr.Web» (тарифный пакет Dr.Web Премиум) — при соблюдении ими этих условий на момент инцидента.

Для пользователей других антивирусов услуга платная.

В чём проблема то?

Ранг: 0.2 (гость)
Статус: Участник

Создано: 12 ноября 2018 08:19 New!
Цитата · Личное сообщение · #16

Как его добавить? архив весит 11mb

Ранг: 6.0 (гость)
Статус: Участник

Создано: 12 ноября 2018 10:07 · Поправил: alfaservice New!
Цитата · Личное сообщение · #17

Ни др.веб ни касперский, при наличии лицензии на момент инцидента не расшифровывают, подавал и туда и туда запросы, запросы они принимают, но в большинстве вариантов ответ "не удалось расшифровать". Да и на форумах у них часто мелькает, что алгоритм в последних вариантах шифровщиков такой что расшифровать его практически невозможно, и кстати даже сами зловреды (вирусописатели) не помогут в расшифровке, это просто способ бабла поднять, раньше да, были темы что оплачивали и получали расшифровщик. Сейчас хоть кто-то слышал что после оплаты файлы удавалось восстановить?

Кстати комп про который я писал успели только несколько первых папок зашифроваться, одна из них была Налогоплательщик ЮЛ? там файлов много и объем не маленький, на ней и вырубить успели комп видимо. Отсюда вывод шифрует не хаотично, а начиная от корня каждую папку. до users папки было далеко, рабочий стол и доки не пострадали )))


Ранг: 592.1 (!)
Статус: Модератор
Research & Development

Создано: 12 ноября 2018 10:48 New!
Цитата · Личное сообщение · #18

alfaservice пишет:
шифрует не хаотично, а начиная от корня каждую папку

Помещать в папку _0000000000 файловые ссылки на BD Remux ))

alfaservice пишет:
это просто способ бабла поднять, раньше да, были темы что оплачивали и получали расшифровщик

Типа "благородные вымогатели", как мило, ну-ну.

С тем же Петей были варианты, когда ключ расшифровки вообще не сохранялся и не отправлялся вымогателям, а удалялся сразу после шифрования.

Ранг: 6.0 (гость)
Статус: Участник

Создано: 12 ноября 2018 11:39 · Поправил: alfaservice New!
Цитата · Личное сообщение · #19

Jupiter пишет:
Типа "благородные вымогатели", как мило, ну-ну.

я серьезно, если кто помнит когда на серверные ОС были нацелены шифровальщики, и требовали за расшифровку 10К нашими... были такие кто платил и вроде как восстанавливали... у меня организаций много было на обслуживании по 1С, соврать бы не смогли т.к. базы накрываются сразу dbf cdx и т.д. и кстати хорошо что зловред не анализирует заголовок файла. Я начал архивы баз делать с расширениями sys и dll ни в одной проге не были тронуты ровно как и exe. Так удалось отсидеться во время наплыва )))

В нашей стране, да и везде в принципе. Пока будут любители легко заработать, будут любители легко заработать на любителях легко заработать ©

Jupiter пишет:
Помещать в папку _0000000000 файловые ссылки на BD Remux ))


ага и желательно еще циклических


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 12 ноября 2018 12:03 · Поправил: BlackCode New!
Цитата · Личное сообщение · #20

Собственно о чем спор?
То что аверы не "чисты на руку", это давно и всем известно.
Только, что в суд на них никто не подавал по причине "труднодаказуемости" подобных фактов.. плюс сами "предохранители" не всегда в адеквате и коррумпированные..
Про судей вообще молчу... там вообще жо=а, ибо
они по своей природе далеки от IT.. кроме "косынки" на компе ничего не знают.. да им на это "положить сверху".
Верх "мастерства" нынешних судей - это хулиганка, избиение с нанесением тяжких ТП.
IT для них - это космос... что-то недосягаемое для их примитивного мозга. Увы это реали.
Тем и пользуются российские аверы.. чтобы денюшек рубануть побольше.. хул..и коммерция.
Есть такое понятие в психологии "Причинно-следственная связь".
Так вот используя данное бесхитростное понятие, сразу становится видна прямая заинтересованность
"антивирусных" компаний в появлении "жуткого зловреда, шифрующего все и вся)" и все "плюшки" которые получает та или иная авер контора)
А значит.... если есть прямой профит от зловредов.. то где хоть малая гарантия непричастности тех кто нас "защищает" к написанию данного говна?
НИКАКОЙ! Всем мира

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 12 ноября 2018 12:11 · Поправил: ntldr New!
Цитата · Личное сообщение · #21

difexacaw. Из аверов, как мне кажется, всего один играет честно и по правилам (и по глубине анализа - далеко впереди всех остальных) - Microsoft со своим MSSE. Если хомякам что-то ставить, то его. А вообще, антивирусы не нужны..

| Сообщение посчитали полезным: BlackCode



Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 12 ноября 2018 12:14 New!
Цитата · Личное сообщение · #22

ntldr пишет:
difexacaw. Из аверов, как мне кажется, всего один играет честно и по правилам (и по глубине анализа - делает всех остальных как стоячих) - Microsoft со своим MSSE. Если хомякам что-то ставить, то его. А вообще, антивирусы не нужны..

Собственно я его только и юзаю..

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 12 ноября 2018 12:19 · Поправил: ntldr New!
Цитата · Личное сообщение · #23

А я давно уже закрутил все гайки самопальным софтом (совсем примитив, ничего сложного. чисто для себя...), чтобы исполнялось только то что явно разрешено, только с положенного места и только с минимально достаточными правами. Гемор настраивать, в первые N лет, а потом привыкаешь... От 0day эксплоита (с local root) и трояном в памяти оно конечно не спасёт....

От трояна шифровальщика хорошо спасают автоматические бекапы. Как шутят сисадмины, люди делятся на два типа: те кто делают бекапы и те кто ищё их проверяет.... Хранить что-то важное в единственной копии - глупость.


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 12 ноября 2018 12:51 New!
Цитата · Личное сообщение · #24

ntldr пишет:
спасают автоматические бекапы

Спасают не спорю, но в моей практике было и такое, что шифровались и бэкапы тоже


Ранг: 1013.7 (!!!!)
Статус: Участник

Создано: 12 ноября 2018 12:54 · Поправил: reversecode New!
Цитата · Личное сообщение · #25

клерк а тебя что из веба уже поперли ? и года не проработал ?

было уже обсуждение - где знание и опыт клерка используется на практике ?
так никто и не смог припомнить, даже малварщикам нечего взять с этих идей


Ранг: 54.6 (постоянный)
Статус: Участник

Создано: 12 ноября 2018 13:14 · Поправил: BlackCode New!
Цитата · Личное сообщение · #26

reversecode пишет:
клерк а тебя что из веба уже поперли ? и года не проработал ?

он в бане до 19/11/2018 08:09
через неделю ответит
P.S. Я понимаю, что для большинства Клерк личность одиозная, НО это никак не умоляет его
знания и опыт, что заслуживает только уважение) ИМХО)

Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 12 ноября 2018 14:33 · Поправил: SegFault New!
Цитата · Личное сообщение · #27

ntldr пишет:
А я давно уже закрутил все гайки самопальным софтом (совсем примитив, ничего сложного. чисто для себя...), чтобы исполнялось только то что явно разрешено, только с положенного места и только с минимально достаточными правами. Гемор настраивать, в первые N лет, а потом привыкаешь... От 0day эксплоита (с local root) и трояном в памяти оно конечно не спасёт....

Мне когда мсрем скидывал фотки того же, что описано в цитате
А по моему проще рассматривать свою систему как изначально уязвимую, тогда большинство(а то и все) проблемы испарятся сами собой.

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 12 ноября 2018 15:08 New!
Цитата · Личное сообщение · #28

Не травите клерка, пожалуйста.

| Сообщение посчитали полезным: BlackCode


Ранг: 44.8 (посетитель)
Статус: Участник

Создано: 12 ноября 2018 15:34 New!
Цитата · Личное сообщение · #29

ntldr пишет:
Не травите клерка, пожалуйста.

Да при чем тут крелк, вы идею оцените Она меняет всё


Ранг: 539.1 (!)
Статус: Участник
оптимист

Создано: 12 ноября 2018 15:45 New!
Цитата · Личное сообщение · #30

ntldr пишет:
Не травите клерка, пожалуйста.

ок тогда пристрелим или повесим
. 1 . 2 . >>
 eXeL@B —› Крэки, обсуждения —› Модуль шифровальщика CRYPTED000007 для анализа

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS