Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

+ GMax спасибо и тебе DimitarSerg

| Сообщение посчитали полезным:

ilya38
Потому что связкой E,N (в твоем случае E = 65537, N = число, которое я выше написал) пошифрованы части файлов (C = M ^ E mod N), для их дешифровки нужен приватный ключ D (M = C ^ D mod N)

Рекомендуется к прочтению:
http://ru.wikipedia.org/wiki/RSA

ilya38 пишет:
N число ты из программы вируса взял?
Ну да ;)

-----
ds

| Сообщение посчитали полезным:

) мерси читал и про des rsa и даже рубин когда меняешь вид деятельности всё забываешь, N число ты из программы вируса взял?

| Сообщение посчитали полезным:

Последнее время в скайпе появился червь, который пересылается от юзера к юзеру с приемом "посмотри эту фотографию ...." или что-то в этом роде и http ссылка на архив типа http://goo.gl/QYV5H?img=skypeNick , в архиве .scr файл. (333 кб с красивой иконочкой). Внедряет себя в скайп в «Контроль доступа других программ Skype» и рассылает всему вашему КЛ мессаги скачать себя.

Вот и интересно, ради прикола он писался или нет.

куда прописывается:
«Контроль доступа других программ Skype»типа 253A.exe, 2802.exe, 3587.exe
и сюда:

Win 7 — C:\Users\<профиль пользователя>\AppData\Roaming
Win XP — C:\Documents and Settings\<профиль пользователя>\Application Data

антивири палят как BackDoor IRC NgrBot

линк --> images-skype&facebook (7).zip <--
- зеркало- пасс virus

| Сообщение посчитали полезным:

ylproduction
Старая тема, ~ год назад была высокая автивность.

Лог анализа BSA в аттаче.

Прикольное имя мютекса "fuckitnowhardbabe"

9982_05.10.2013_EXELAB.rU.tgz - log.txt

-----
ds

| Сообщение посчитали полезным: ylproduction

надо было с этого и начинать, бгг

tnx

| Сообщение посчитали полезным:

DimitarSerg пишет:
Прикольное имя мютекса "fuckitnowhardbabe"

там еще есть "fuckyounowwithhembitch"

С&C lolcantpwnme.net



unpacked file
ps: malware


0331_06.10.2013_EXELAB.rU.tgz - _00AF0000.rar

| Сообщение посчитали полезным:

--> Вот эти <--

Слайды у кого-то есть или пример дроппера, может, где-то лежит? Не сочтите за труд поделиться, спасибо.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Вот тут вроде есть семплы, но нужно регаться.
slideshare.net дает сохранить презентацию в виде pdf.

3,5 M не аттачится.

А тут материала поболе, чем в презенташке.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: ARCHANGEL

Если инжект интересует, то вот небольшое поделие подобное:

https://github.com/0vercl0k/stuffz/blob/master/gapz_code_injection.cpp

Можешь погуглить Power Loader.

| Сообщение посчитали полезным: ARCHANGEL

Здравствуйте, на днях столкнулся с одной проблемкой. На компьютере был схвачен вирус который с отсылкой на евромайдан зашифровал все документы и архивы на компьютере.
Мучаюсь с ним уже неделю. Стало известно что он упакован Armadillo 9.6. Перепробовал кучу всяких анпакеров. Пытался в ручную разобрать. Ни ида ни оля ничего толкового не дали. Процесс не дает к себе аттачится. Все полученные OEP недействительны получаются.
Помогите пожалуйста хотя бы снять локер. Очень уж нужно восстановить шифрованные документы. Если вдруг у кого то есть уже лекарство то был бы очень благодарен. А то уже две компании местные полегли ...
Прикладываю файл. В архиве без расширения.

http://gfile.ru/a5vhn

БУДЬТЕ ОСТОРОЖНЫ.

| Сообщение посчитали полезным:

Worldmasters
Сушите весла...
RSA 797bit
Сабж прекрасно распаковывается армагедоном http://arteam.accessroot.com/arteam/site/download.php?view.262

Когда пару лет назад была волна похожего вируса(только там был RSA 1024) касперчик предлагал ничего не делать (записывать перезаписывать на диск), вставить чистый диск и попытаться хоть что-то восстановить программами восстановления.

| Сообщение посчитали полезным:

Vovan666 пишет:
RSA 797bit
Как и на прошлой странице не из одних ли сорков собиралось... толлько там каким-то самопалом упаковано было, а тут незареганной армой.

Vovan666, опередил.

Список шифруемых форматов


-----
ds

| Сообщение посчитали полезным:

У меня не получилось распаковать ... дайте пожалуйста распакованый экзешний ..
Армагеддон его детачит и все .. дальше ничего не происходит ..
либо получает дамп но таблицу импорта ваще ни коим образом не восстановить.

| Сообщение посчитали полезным:

DimitarSerg ну не дразните пожалуйста, Скиньте экзешник??
А может где то есть распаковщик файлов готовый??

| Сообщение посчитали полезным:

Worldmasters пишет:
DimitarSerg ну не дразните пожалуйста, Скиньте экзешник??
Да, пожалуйста, играйтесь:
rghost.net/53176061

Worldmasters пишет:
А может где то есть распаковщик файлов готовый??
Vovan666 пишет:
Сабж прекрасно распаковывается армагедоном http://arteam.accessroot.com/arteam/site/download.php?view.262

-----
ds

| Сообщение посчитали полезным:

Worldmasters пишет:
А может где то есть распаковщик файлов готовый??
Vovan666 пишет:
Сабж прекрасно распаковывается армагедоном http://arteam.accessroot.com/arteam/site/download.php?view.262

Да я про тот который расшифровывает то что вирус натворил.
Спасибо вам огромное .. Буду дальше ковырятся.

хм ... так он не запускается ... это так и должно быть чтоли?

Как его в отладчике запустить если он в ошибку вылетает сразу ..

От модератора: с поиском топиков худо, кнопкой Правкой тоже пользоваться не умеешь? ну давай я за тебя

| Сообщение посчитали полезным:

Worldmasters
http://ru.wikipedia.org/wiki/RSA
RSA 797bit, это вашей и паре других заразившихся контор нужно накупить железа, как минимум штук 100 последних i7, и перекрестившись подождать недельку другую(а может и месяц другой) пока не факторизуется RSA 797bit, других вариантов кроме попытки восстановления файлов(CopyFileA все-таки там используется) или поиска авттора и паяльника в не существует.

| Сообщение посчитали полезным:

А поделитесь откуда информация что это именно RSA 797bit ??
Ведь шифрование с ключом. Программа же ключ хранит внутри себя ... файлы шифрованные на разных компах имеют одинаковый хэш. Может где то можно ключик выудить?
И может такой вариант возможен? Если знаешь что внутри возможно вытащить ключ?

От модератора: Пользуйся кнопкой "Правка", не создавай сообщения подряд. Это уже последнее предупреждение

| Сообщение посчитали полезным:

Worldmasters пишет:
А поделитесь откуда информация что это именно RSA 797bit ??
При беглом анализе. Вирус не запускал.

Worldmasters пишет:
И может такой вариант возможен? Если знаешь что внутри возможно вытащить ключ?
Нет. Это необратимо без факторизации, насколько я знаю.

| Сообщение посчитали полезным:

Так а таблицу импорта то восстановить можно?? чтобы вирь запускался стандартно?

| Сообщение посчитали полезным:

Можно. Вопрос только зачем? Расшифровать файлы все равно не получится.
Держите распакованный файл с нормально восстановленным импортом: http://rghost.ru/53187127.
Пароль - virus.

| Сообщение посчитали полезным:

Спасибо. Я все таки попробую

| Сообщение посчитали полезным:

Ах, лол. Он перебьет инфу в вирусне и сам ее грузить будет

| Сообщение посчитали полезным: DimitarSerg

Airenikus, вы все такие одинаковые. На каждом форуме. Не упустите момента плюнуть в спину.
Скучно..

| Сообщение посчитали полезным:

Worldmasters
Ему помочь хотят, а он...
Этот вирус только шифратор, дешифровать он не умеет априори, а запустив несколько копий вируса и перешифровав файлы много раз, ты только усугубишь ситуацию. как-то так...

| Сообщение посчитали полезным:

Я просил снять защиту и восстановить импорт. Вы сделали это и вам за это большое спасибо. Дальше я сам знаю что делать. Я и слова не говорил о своих будущих планах. Откуда у вас информация что я буду много раз перешифровывать данные?? Пока не прочитал даже не смог до такого додуматься.
К тому же вирус не перешифровывает данные.

PS. Не заметил повода обращаться ко мне на "ТЫ".

PS. За помощь еще раз спасибо.

| Сообщение посчитали полезным:

Была произведена подмена почты ведомственной конторы, исполняемый файл src в архиве
(обычные смертные додумались запустить файл из архива не посмотрев даже что же там=)

http://rghost.ru/53200915 (без пароля, не автораспаковщик, заливал as is такой же ссылкой на другие форумы)

Кто поможет прошу в лс

Локер+шифровщик

Основные действия:
направленная шифровка целевых файлов (в частности у них зашифровало базы данных бухгалтерии, 1с)
смена скрина рабочего стола
блокировка основных средств управления (пользовательских)

Вменяют писать на почту от имени ID локера и там нас уломают заплатить кому то денег

Снять блокировку то снял, а вот расшифровать теперь хз

ps в идеале чекнуть полную процедуру лечения, мало ли он с буткитом*

| Сообщение посчитали полезным:

Добро пожаловать AD0 аналогичный случай.

| Сообщение посчитали полезным:

Worldmasters пишет:
Добро пожаловать AD0 аналогичный случай.

Собранная инфа

C\Program Files\Информационные Решения\Справочная информация!
Process: C:\Program Files\.............. .......\.......... ..........!\svchost.exe
Process: C:\Program Files\.............. .......\.......... ..........!\update_ccc.exe
Паковщик Armadillo
В комплекте стилер UFR с именем update_ccc.exe
IP: 23.65.181.81 / 90.156.201.80
Domains / Domain IP
whatismyip.akamai.com 23.65.181.81 / komfort-zdorovie.ru 90.156.201.37 (_http://komfort-zdorovie.ru/img/eshelon/ufr.php)

| Сообщение посчитали полезным: