Перейти к содержимому


- - - - -

Вирус поймал!


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 7

#1 Cosworth

Cosworth

    Посетитель

  • Members
  • PipPip
  • 73 сообщений
  • Пол:Мужчина
  • Город:Новокуркино, Молодежная 50

Отправлено 11 Июнь 2009 - 16:23

Все документы (MS Office), rar, jpg были переименованы - добавилось расширение vscrypt
По форуму поискал ни чего не нашел по vscrypt
В сети тоже не много информации. и откликов "огромное спасибо" нет, поэтому этими способами лечиться пока не спешу.

Вчера NOD все проверил и вирус вроде как удалил. НО как дешифравать файлы???

#2 Zakk

Zakk

    Новичок

  • Members
  • Pip
  • 13 сообщений
  • Пол:Мужчина
  • Город:Химки

Отправлено 11 Июнь 2009 - 19:56

http://news.drweb.com/show/?i=49
вроде оно

или попробуй http://vms.drweb.com/sendvirus/
Категория "Запрос на лечение"

#3 Cosworth

Cosworth

    Посетитель

  • Members
  • PipPip
  • 73 сообщений
  • Пол:Мужчина
  • Город:Новокуркино, Молодежная 50

Отправлено 11 Июнь 2009 - 20:54

[quote name='Zakk' date='11.06.2009, 20:56' post='969536']
http://news.drweb.com/show/?i=49
вроде оно

я это пробывал, но там лечение расширение - .crypt

#4 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 12 Июнь 2009 - 07:03

Cosworth - говорят, что и vscrypt спокойно берет... (Это надо ж умудриться поймать прошлогодний вирус)) )

Попробуй скачать Dr.Web CureIT....

Антивирус у тебя какой? Аваст? или Nod32?
Если Аваст - то этот вирус он сможет ловить только через полтора года))
Если НОД - то через год его, может и добавят в базы.

#5 AlexZ

AlexZ

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 871 сообщений
  • Пол:Мужчина
  • Город:Empire of Himki

Отправлено 12 Июнь 2009 - 07:35

Просмотр сообщенияLexxus (12.06.2009, 08:03) писал:

Антивирус у тебя какой? Аваст? или Nod32?
Cosworth в своём первом сообщение конкретно написал:

Цитата

Вчера NOD все проверил и вирус вроде как удалил.
Соответственно, при недолгом размышлении понимаем, что антивирус у Cosworth NOD32 и вирус он нашёл и удалил.

#6 Cosworth

Cosworth

    Посетитель

  • Members
  • PipPip
  • 73 сообщений
  • Пол:Мужчина
  • Город:Новокуркино, Молодежная 50

Отправлено 12 Июнь 2009 - 09:05

Все верно антивирус у меня Nod32 2.7 (каждый день обнавляется на http://bevb.himki.net/nod2/)
Но вирус он пропустил! то есть заставку вымогателя я увидел на экране и только после этого я самостоятельно запустил сканирование NOD и он его удалил.

Вчера еще запустил Kaspersky Virus Removal Tool! он еще накопал несколько вирусов и удалил их.
Видимо надо очень серьезно подойти к выбору другого антивируса, если NOD их пропускает. Причем, когда Kaspersky находил вирус, тогда же и срабатывал и NOD!!!

Но главная проблема осталась - надо востановить поврежденные (закодированные вирусом) файлы.
И это теперь главная моя задача!

Если это старый вирус, то  может уже широко распространен какой-нибудь дешифратор в сети!? может видел кто?!

Сообщение отредактировал Cosworth: 12 Июнь 2009 - 09:07


#7 Cosworth

Cosworth

    Посетитель

  • Members
  • PipPip
  • 73 сообщений
  • Пол:Мужчина
  • Город:Новокуркино, Молодежная 50

Отправлено 12 Июнь 2009 - 10:10

Нашел архив с исходником вируса-шантожиста и дешефратором, но только моих знаний не хватает для решения проблемы дешифратора!!!

Вот такой текст нашел:

Итак, читая тему http://forum.anticha...hread72785.html мне захотелось написать собственного Вируса-Шантажиста ради интереса, мне самому он не нужен, поэтому я решил выложить готовые исходники на публику ( .exe файлов в нём нету).
Значит, описываю программу. Вирус работает по такому принципу:
1) Ищет на диске определённые расширения, букву диска, а также типы файлов вы указываете сами. (По умолчанию там *.doc, *.pdf, *.jpg)
2) Найденные пути файлов он пихает в Memo, а оттуда в цикле построчно шифрует с открытым ключом, который тоже меняется на любой (По умолчанию там supersecretpass), шифруется с помощью подгружаемой DLL, которая написана на ASM`e, и имеет неплохой алгоритм шифровки с открытым ключем.
4) Далее мы устанавливаем на рабочий стол жертвы .jpg картинку:



5) Ну а далее мы просто перезагружаем компьютер, и все данные теряются, остаются лишь зашифрованные файлы.

В комплекте идёт также исходник дешифратора, принцип его работы:
1) Ищет установленную вирусом DLL, если нету, значит вирус тут не был. По ней и ориентируется, начать работу или выйти.
2) Ищет файлы *.vscrypt на компьютере, и по аналогии копирует их в memo, и делает дешифрацию с тем-же ключём.
3) Если всё успешно, выводит сообщение.

Мне вот любопытно, если когда появился первый такой вирус, то в Лаб. Касперского понаписали кучу софта для восстановления файлов, и т.д…
Вот собственно интересная мысль, если исходники будут на публике, как они отреагируют ???

А теперь минусы программы:
1) Ключ шифровки, как ни крути находится в программе.
Решение:
От этого можно избавиться очень легко, но потребуется коннект к инету.
Можно генерировать ключ при запуске программы, и отсылать его гейту, читать ответ сервера, и если передача успешная, то по нему шифровать все файлы, и в итоге ключик будет только у нас. Я могу эту фишку дописать если только понадобится.
2) Программа работает не на чистом WinAPI, а на обычных компонентах Delphi.
Ну тут уж звиняйте…

#8 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Август 2009 - 09:01

От вирусов лечат в этой теме: http://forum.himki.n...showtopic=45318




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных