Вирус просит биткоины. Хелп

[9life]

жуткая жуть

 

[DiGiTaL]

Кажить, включать режим "ждун" на "дешифровку", или таки забить нафиг?

слей зашифрованную инфу на внешние носители и пусть лежит, будет дешифратор - хорошо, нет - нет, и продолжать работать.

 

[_SOm]

Кажить, включать режим "ждун" на "дешифровку", или таки забить нафиг?

как в старом анекдоте про чукчу...

если скажу "удаляй инфу, ничего не будет рассшифровано", а потом вдруг внезапно расшифруют, то "чукча" потеряет данные, которые в принципе мог восстановить... а если скажу "сохраняй, когда-нибудь расшифруют", а на самом деле не расшифруют, то "чукча" потеряет только немного дискового пространства... лучше скажу "СОХРАНЯЙ"

А вообще в каждом конкретном случае решать Вам. Если данные действительно уникальные, необходимые и невосстановимые другим путем, то чего ж не похранить?

 

[partola]

Кажить, включать режим "ждун" на "дешифровку", или таки забить нафиг?

Слыхал вчера по телеку спец по кибербезопасности вещал, шо для ускорения своей работы петя шифрует только первый мегабайт каждого файла, так шо высокая вероятность восстановления большей части информации.

 

[DiGiTaL]

петя шифрует только первый мегабайт каждого файла

а если файл весит 100кб?

 

[_SOm]

ЗЫ. Я не админ, у меня совсем другая работа, но блин цикавоже.. )))

ну так... цікаво самому расколупать... а в чем прикол ждать, когда за Вас это сделают другие и восстановить данные, которые Вам не нужны?

Оно то конечно "на вкус и цвет", но как по мне, спортивного интереса тут не особо много...

 

[_SOm]

а если файл весит 100кб?

То Петя дописывает в начало 1мб, шифрует его и переходит к другому файлу

А вообще: кто слушает еще этих "спецов по кибербезопасности"? Они ж постоянно дичь какую-то несут, которая чаще всего просто рандомный набор слов...

 

[partola]

а если файл весит 100кб?

Значит там нет ничего важного.

 

[DiGiTaL]

Значит там нет ничего важного.

Ничего подобного это может быть очень большая бухгалтерская таблица excel в заархивированном виде.

 

[partola]

очень большая бухгалтерская таблица excel

Преклоняюсь перед бухгалтерами, ведущими учёт в экселе.

У нашей только гроссбух и калькулятор (недавно только счёты заапгрейдила). Вирус не прошел!

 

[SergSerg1]

не было у Вас никакого "пети". И внутри ZvitPublishedObjects.dll никакого "пети" нет. То, что там внутри - не "петя", строго говоря.

а кто тогда в профиле пользователя в котором был проинстален медок в реестре создал веточку "HKEY_CURRENT_USER\SOFTWARE\WC" ?

Об этой странно возникшей веточке говорят у же все антивирусные производители и докрто вэб и есет и мелкософт

Причем в этой веточке в ключах упоминается серевер апдейтов медка.

Каспер файлик 4-го июля "ZvitPublishedObjects.dll" назавал "UDSangerous.Object.Multi.Generic" то бишь определенно вирус на 100%, но который пока не классифисирован в иерархии вирусов.


Петя это или нет - можете пройтись по ссылочке

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

 

[alex444]

а кто тогда в профиле пользователя в котором был проинстален медок в реестре создал веточку "HKEY_CURRENT_USER\SOFTWARE\WC" ?

Вам уже прокомментировали тут https://www.kharkovforum.com/showthread.php?t=4900550&page=79#post60524056

 

[Gall07]

выступающий от имени создателей вируса, запостил обращение ко всем пострадавшим, в котором вымогает за расшифровку файлов (но не загрузочных дисков) по 100 биткоинов.

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

 

[SergSerg1]

Вам уже прокомментировали тут https://www.kharkovforum.com/showthread.php?t=4900550&page=79#post60524056

там пост без ссылки на первоисточник на то кто именно утверждает что в том файле только шлюз

Я вам специально давал ссылку в которой видно что уже 38 антивирусных программ в этом файле видят именно вирус, а не шлюз

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Вы будете противопоставлять мнение 38 антивирусных программ мнению какого-то анонимного поста не имеющего ссылки на первоисточник?

 

[Analyst]

Та понятно. просто нет носителя куда скинуть образ, шоп с ним потом колупаться.
Работоспособность Системы восстановлена...

Если на диске с данными в корне нет readme.txt с ключом, то вероятность восстановления по идее, стремится к 0. Для каждого логического диска ключ свой. Записывался этот ключ вроде как по окончании шифрования (на выдернутых из розетки компах его нет).

Еще есть мнение, что при шифровании файлов больше 1Мб в вирусяке баг, из-за которого следующий файл шифруется как продолжение первого (

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

выше давал 9-life).

Т.е. нельзя ни удалять, ни создавать там ничего - файлы должны быть в той же последовательности, что и при шифровании. Раздел или скрыть, или в образ.

Хотя, по этому коду видно только возможную порчу нескольких байт в больших файлах (

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

):

Спойлер: CryptFile function

// Based on function Ox10001973
void cryptFiles(hProv, aesKey) {
  for every file candidate F:
    cryptFile(hProv, aesKey);
}

// Based on function 0x1000189A
void cryptFile(hProv, aesKey, Path) {
  // Get handle to Path
  HANDLE hFile = CreateFile(...);
  uint64_t size;
  // This is not the exact Windows API, but this makes the explanation easier...
  GetFileSizeEx(hFile, &size);
  bool final;
  // Compute encryption size
  if (size <= 0x100000) {
     // Here, the next multiple of 16 of Size is computed. Indeed, when the
     // file is less than 1MB, CryptEncrypt this will use PKCS5 padding for
     // the last block. Our file will be thus at most one 16 byte block larger.
     size = ((size/16) + 1)*16;
     final = TRUE;
  }
  else {
    // If we have 1MB of data to encrypt, then the Final is set to FALSE.
    // Indeed, CryptEncrypt will *always* add a final padding block, even if
    // the size of the data to encrypt is a multiple of 16. In this case, if
    // it has set the Final flag to TRUE, 16 bytes would have been overwritten
    // in the original file (as encryption is done in-place, see above),
    // with no chance of retrieving them.
    final = FALSE;
  }
  // MemoryMap isn't a Windows API. This is basically just to say that
  // only "size" bytes are memory mapped.
  void* buffer = MemoryMap(hFile, size);
  DWORD sizeEncrypted;
  CryptEncrypt(hProv, 0, final, buffer, &sizeEncrypted, size);
  // This makes sure that encrypted data are effectively written on the
  // hard disk.
  FlushViewOfFile(..);
  // Then close the memory map and the file.
}

А хранить, или не хранить, отваливать 100 биткоинов или нет - тут стрёмно советовать, каждый решает сам. Как я выше писал - часть файлов осталась незашифрована, их можно вытянуть.

 

[alex444]

там пост без ссылки на первоисточник на то кто именно утверждает что в том файле только шлюз

первоисточник - статья Антона Черепанова.

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Вы будете противопоставлять мнение 38 антивирусных программ мнению какого-то анонимного поста не имеющего ссылки на первоисточник?

мнение 38 программ "появилось" именно после этой статьи и приведенного в ней анализа.

 

[alex444]

Берете исходный файл ZvitPublishedObjects.dll - он не кусается.

я могу ему и саму dll-ку с "петей" дать (которая perfc.dat) - у меня есть экземплярчик. и пусть прогонит её через...

 

[DiGiTaL]

я могу ему и саму dll-ку с "петей" дать (которая perfc.dat) - у меня есть экземплярчик

о! можно попросить?

 

[alex444]

о! можно попросить?

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

вот это - действительно Петя .


интересно, как я его тебе передам... почта - вируса не пропустит....

 

[DiGiTaL]

интересно, как я его тебе передам... почта - вируса не пропустит....

в архив его под пароль и убрать расширение файла, всё