Опять к шифраторам

Сейчас на форуме: vsv1, johnniewalker, NIKOLA (+6 невидимых)

Посл.ответ	Сообщение
VT-x Ранг: 16.3 (новичок), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 23 марта 2016 04:13 · Поправил: Модератор · Личное сообщение · #1 Наткнулся сегодня на шифратор, угарал........ Написан на сях с рантаймом, тут то не было, оказалось сразу спалился криптоном от sysenter, тут же выяснилось что это софт UP0, он же Radomant с экспы, щас мучу расшифровщик, если по чесноку респект сисентеру, так как его крипт и антиэмули после дампа видно что юзаются упырком. прикладываю файл, если кому интересно - смотрите на здоовье, полный образец говнокодерства. Пару дней и выложу декриптовщик От модератора: не надо сюда малварь аттачить

Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 23 марта 2016 04:40 · Личное сообщение · #2 инде, ты ли это?
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 23 марта 2016 08:55 · Поправил: Dart Sergius · Личное сообщение · #3 Для обсуждения вирусов есть отдельная тема с правилом : все вирусы выкладываются исключительно в архиве и только под паролем ( пароль выкладываете ). зы лень смотреть - там приватные ключи вшиты в файлы?
VT-x Ранг: 16.3 (новичок), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 23 марта 2016 12:09 · Личное сообщение · #4 Gideon Vi Не я не инде, его щас редко, но можно увидать на васме Dart Sergius - Если лень, можете не смотреть, естественно. На счет алго и т.д. скину чуть позже описалово. На счет аттача, ничего не аттачу - линк в архиве с паролем: https://www.sendspace.com/file/5q5eqo Пароль: exelab.ru давно уже пора заняться реверсом говношифраторов. \| Сообщение посчитали полезным: Rainbow
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 23 марта 2016 16:09 · Поправил: Rainbow · Личное сообщение · #5 VT-x пишет: давно уже пора заняться реверсом говношифраторов. Я бы сказал, крипто-алгоритмов(на худой конец - реализаций).. Да, это сложно.. Да, не всегда возможно. Однако побочным продуктом такого реверса становятся авторские свидетельства, статьи, патенты. И самое главное - НОВЫЕ ИДЕИ.
VT-x Ранг: 16.3 (новичок), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 23 марта 2016 18:19 · Поправил: VT-x · Личное сообщение · #6 Rainbow в том то и дело что возможно, но сложно ADD: это же школолоиды сочиняют Добавлено спустя 1 час 52 минуты А вот выцепленое описалово софта, от псевдоаторов говнософта: Code: Coverton - многопоточный настраиваемый криптолокер, работающий с сетью TOR. Команда разработчиков, основываясь на опыте успешных: * CTB-Locker; * TeslaCrypt; * CryptoWall; * RADAMANT KIT; постаралась взять лучшее из всех представленных на рынке вымогательского ПО софта. Основой являлся старый проект RADAMANT RANSOMWARE KIT, разработчики которого также находятся в действующей команде девелоперов Coverton. Краткие характеристики Coverton вполне возможно собрать в один девиз: Steadfastly - Flexibly - Multithreaded - Anonymously Раскроем каждое понятие: * Steadfastly - Стойко Coverton использует стойкий криптоалгоритм AES с размером блока 128 бит и длиной ключа 256 бит. AES успешно показал себя в таком успешном проекте как TrueCrypt, а также до сих пор остается основным стандартом шифрования не только данных правительства США, но и многих других стран. Первый вирус CryptoLocker использовал именно AES-256. Это давно зарекомендовавший себя алгоритм шифрования, что подтвердило не только FBI, но и полиция США выкупом своих данных. Однако, ключ AES необходимо защитить от возможной утечки. Для этой цели мы используем криптоалгоритм RSA-2048 с закрытым и открытым ключем шифрования. RSA с ключем более 2 килобайт остается также надежной криптосистемой, однако скорость шифрования RSA не позволяет шифровать весь массив данных - на это будет затрачено слишком много времени. Поэтому, мы используем гибридную систему шифрования: AES-256[key](RSA-2048) -> Data * AES-256 - используется рандомизированный ключ длинной 32 символа по маске генерации 0-255 символов для каждого файла. Каждый новый ключ затирает собой старый. * RSA-2048 - для шифрования используется публичный ключ шифрования с длинной более 2 килобайт. Приватный ключ находится на нашем сервере. Для защиты данных при передаче мы используем гибридный алгоритм шифрования. Перехват ключа при передаче невозможен. * Flexibly - Гибко Coverton обладает очень гибкими настройками, которые легко изменяются в C&C панели, расположенной в сети .onion Каждый адверт способен изменять настройки real-time по своему желанию. 1. Маски шифрования файлов и приоритет: на текущий момент в C&C панели установлено более 1500 масок шифрования файлов, которые уже расстановлены по приоритету шифрования; 2. Цена за ключ по странам: устанавливаются в BitCoin по текущему курсу. Цены уже установлены в соответствии с платежеспособностью жертв. Все это легко изменяется прямо в админ панели. Для крупных адвертов возможно дописывание функционала самого бота. * Multithreaded - Многопоточно Coverton работает как многопоточный софт. Основные группы потоков: 1. Основной поток, регулирующий остальные; 2. Поток поиска файлов; 3. Потоки шифрования носителей; Подгруппа - потоки шифрования файлов; Схема работы шифрования: \|Основной\| - стартует потоки \|Поисковый\| - находит все файлы по маскам и добавляет их в очередь на шифрование \|Шифрование\| - стартует дочерние потоки под каждый носитель, например: # Поток 1 - физические носители (HDD, SDD) # Поток 2 - съемные носители (USB) # Поток 3 - сетевые носители (Shared-folders) Таким образом, идет шифрование одновременно всех носителей информации. Скорость: 11k файлов на HDD 11k файлов на USB 11k файлов на Shared диске Общее количество: 33k файлов - 7 минут * Anonymously - Анонимно Сеть Coverton находится в TOR сети. Админ панель и лендинг расположены в сети .onion, что усложняет нахождение бот-сети. Оплата за дешифровку файлов приходит на BitCoin кошелек, установленный на сервере.
dosprog Ранг: 431.7 (мудрец), 389thx Активность: 0.73↘0.32 Статус: Участник	Создано: 23 марта 2016 20:36 · Поправил: dosprog · Личное сообщение · #7 VT-x пишет: давно уже пора заняться реверсом говношифраторов. ) ..вот больше заняться-то нечем, ага..
VT-x Ранг: 16.3 (новичок), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 23 марта 2016 21:08 · Поправил: Модератор · Личное сообщение · #8 ну да коммерс проект типа)))) звезду чел поймал походу))) а там реверсить реально нечего
VT-x Ранг: 16.3 (новичок), 2thx Активность: 0.03↘0 Статус: Участник	Создано: 07 августа 2016 17:00 · Личное сообщение · #9 Вот нарыл: Был разработан деактиватор и дешифровщик сверх вредоноса и долбаного гнуса Ransomware.Satana, ссылки на который пестрят в интернете и который работает как скрытый модернизированный буткит на 3 уровнях защиты и шифрует к херам файлы модернизированным алгоритмом AES256, RSA1024 и удаляет точки восстановления системы и теневые копии, заражает сетевые диски и прочие носители информации. https://www.google.com/search?q=ransomware.satana Только у нас есть алгоритм расшифровки обработанных им файлов и лечения вашей системы. Скиншот нашего приложения от очистки данной нечисти прилагаем. http://prnt.sc/c2ofie К сожалению постоянно его разработчики модернизируют его алгоритмы блочного шифрования, поэтому пишите на указанный в нашей программе E-mail с указанием подробностей. To moderator: ничего кроме линка на гугл и скрина не добавил

Для печати